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Introduction 



Lorsque j'ai commence l'ecriture de Windows PowerShell, j'etais en train de lire un ouvrage 
sur 1' infrastructure a cle publique (PKI, Public Key Infrastructure). Les informations de fond 
et de reference sur PKI etaient certes tres interessantes mais il manquait des details sur la 
mise en application de cette infrastructure dans un environnement reel. En lisant bon nombre 
de livres techniques, j 'ai souvent regrette l'absence de presentation pratique. C'est pourquoi 
j'ai decide d'aborder cet ouvrage sur PowerShell de maniere differente de la plupart des 
livres techniques habituels. 

Vous lisez les resultats de ce choix. Bien que ce livre contienne des informations de reference 
detaillees sur PowerShell, j ' ai essay e de montrer aux lecteurs comment ils pouvaient employer 
cet outil pour repondre a leurs besoins precis. Cette approche n'est sans doute pas nouvelle 
ni revolutionnaire, mais j'espere qu'elle vous apportera une vue unique sur l'un des futurs 
produits les plus impressionnants de Microsoft. 

Cette derniere phrase n'est en aucun cas une publicite pour Microsoft. L'equipe de PowerShell 
a reellement cree un interpreteur de commandes {shell) agreable, simple, amusant et, a n'en 
pas douter, puissant. Je suis impatient de connaitre ce que Microsoft a en reserve pour 
PowerShell et dans quels produits il sera utilise. 

Notre public 

Cet ouvrage est destine aux administrateurs systeme de niveau intermediaire, qui ont investi 
du temps et de l'energie a apprendre l'ecriture de scripts Windows et qui souhaitent convertir 
cette competence en connaissances PowerShell, tout en voyant comment il peut repondre a 
leurs besoins reels. II a ete ecrit arm que quiconque possedant une experience des scripts 
puisse comprendre les objectifs de PowerShell et son utilisation, mais il n'en est pas un guide 
complet. Vous devez le voir comme une ressource permettant de vous apprendre a exploiter 
PowerShell dans votre propre environnement. Sa structure reflete done cet objectif en incluant 
de nombreux exemples de commandes et de scripts operationnels. 
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Windows PowerShell 



Organisation de ce livre 

Cet ouvrage est divise en trois parties : 

■ Partie I, "Introduction a PowerShell". Cette partie presente PowerShell et son utilisation, 
explique pourquoi PowerShell est ne, decrit son utilisation generale, detaille la signature 
de code et etablit les meilleures pratiques PowerShell. 

■ Partie II, "Applique r ses connaissances a PowerShell" . Cette partie explique point a point 
comment exploiter ses connaissances en ecriture de scripts Windows pour apprendre le 
developpement de scripts PowerShell. Elle traite de sujets comme la manipulation du 
systeme de fichiers de Windows, le Registre, WMI {Windows Management Instrumenta- 
tion) et ADSI {Active Directory Services Interfaces). Pour vous aider, elle propose des 
exemples de taches d'automation et des scripts operationnels, tant en VBScript qu'en 
PowerShell. 

■ Partie III, "Utiliser PowerShell pour les besoins d'automation ". Cette partie a pour objec- 
tif d'aller plus loin sur l'utilisation de PowerShell dans la gestion de systemes. Elle decrit 
comment employer PowerShell pour repondre aux besoins de securite, automatiser les 
modifications sur de nombreux systemes et gerer Exchange Server 2007. 

Conventions typographiques 

Les commandes, les scripts et tout ce qui a trait au code sont presentes dans une police parti- 
culiere a chasse constante. Le texte en gras indique la definition d'un terme. Litalique est 
utilise pour designer des variables et parfois pour une mise en exergue. Les lettres majuscules 
et minuscules, les noms et la structure sont utilises de maniere coherente afin que les exem- 
ples de commandes et de scripts soient plus lisibles. Par ailleurs, vous rencontrerez des cas 
oil des commandes ou des scripts n'ont pas ete totalement optimises. Ce choix est volontaire, 
car il facilite la comprehension de ces exemples et se conforme aux pratiques encourageant 
une meilleure lisibilite du code. Pour plus de details sur la presentation, les conventions et les 
pratiques employees pour les commandes et les scripts dans ce livre, consultez le Chapitre 5, 
"Suivre les bonnes pratiques". 
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Voici les autres conventions typographiques de cet ouvrage 1 : 
Zones de code en noir 



Ces zones de code contiennent des commandes a executer dans une session 
PowerShell ou Bash. 



Zones de code en gris 

Ces zones de code contiennent le code source de scripts, de fichiers de 
configuration ou d 1 autres elements qui ne sont pas executes directement 
dans une session shell. 

— Attention 

Les avertissements signalent des actions a eviter. 




Ces notes proposent des informations supplementaires sur le sujet en cours. 



1. N.d.T. : Dans les zones de code, les cesures sont reproduites dans le livre telles qu'elles apparaissent a l'ecran. 
En revanche, nous avons pris le parti de corriger les eventuelles fautes d'orthographe. 
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Introduction aux shells 
et a PowerShell 

Dans ce chapitre 

I Role du shell 

I Historique des shells 
I Arrivee de PowerShell 

Les shells, ou interpreters de commandes, sont indispensables aux systemes d' exploitation 
car ils permettent d'effectuer toutes sortes d'operations, comme le parcours du systeme de 
fichiers, l'execution de commandes ou le lancement d' applications. Tout utilisateur d'un 
ordinateur a ete confronte au shell, que ce soit en saisissant des commandes a une invite ou 
en cliquant sur une icone pour faire demarrer une application. Les shells sont incontourna- 
bles lorsque vous utilisez un systeme informatique. 

Au cours de ce chapitre, nous allons faire connaissance avec le shell et voir tout ce que nous 
pouvons en tirer. Pour cela, nous examinerons plusieurs commandes de base et nous les 
combinerons dans un script shell arm d'en augmenter les possibilites. Ensuite, nous presen- 
terons revolution des shells depuis ces trente-cinq dernieres annees. Enfin, nous donnerons 
les raisons de l'existence de PowerShell et ses implications pour les administrateurs systeme 
et les auteurs de scripts. 
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Role du shell 

Un shell est une interface qui permet aux utilisateurs d'interagir avec le systeme d' exploita- 
tion. Un shell n'est pas considere comme une application car il est incontournable, mais il 
equivaut a n'importe quel autre processus s'executant sur un systeme. Le shell differe d'une 
application dans la mesure oil son role est de permettre aux utilisateurs d'executer des 
applications. Dans certains systemes d' exploitation, comme UNIX, Linux ou VMS, il s'agit 
d'une interface en ligne de commande (CLI, Command-line Interface). Dans d'autres, 
comme Windows et Mac OS X, il s'agit d'une interface utilisateur graphique. 

Par ailleurs, lorsqu'on parle de shells, il est frequent de negliger deux types de systemes 
pourtant tres repandus : les equipements reseau et les kiosques. Les dispositifs reseau 
possedent generalement un shell graphique (une interface Web sur du materiel grand 
public) ou un interpreteur de ligne de commande (sur le materiel industriel). Les kiosques 
sont tout a fait differents. Puisqu'ils sont nombreux a etre construits a partir d' applications 
s'executant au-dessus d'un systeme d' exploitation plus robuste, les interfaces sont rare- 
ment des shells. Cependant, si le kiosque s'appuie sur un systeme d' exploitation dedie, 
1' interface peut etre vue comme un shell. Malheureusement, les interfaces des kiosques 
sont encore designees de maniere generique comme des shells car il est difficile d'expli- 
quer la difference aux utilisateurs non techniques (ce qui conduit a 1' automation des taches 
et, par consequent, a une plus grande efficacite d' execution ainsi qu'a une meilleure preci- 
sion et coherence de realisation). 

Les shells en ligne de commande et les shells graphiques ont des avantages et des inconve- 
nients. Par exemple, la plupart des shells CLI autorisent un enchainement puissant des 
commandes (des commandes envoient leur sortie a d'autres pour traitement ; il s'agit d'un 
fonctionnement en pipeline ou tube). En revanche, les shells graphiques exigent que les 
commandes fonctionnent en totale independance. Par ailleurs, la plupart des shells graphi- 
ques proposent une navigation simple, tandis que les versions CLI supposent la connaissance 
du systeme afin de ne pas avoir a tester plusieurs commandes pour mener a bien une tache 
d' automation. Votre choix du shell depend de vos habitudes et de ce qui est le mieux adapte 
a la realisation manuelle d'une tache. 

Meme si les shells graphiques existent, le terme "shell" est employe presque exclusivement 
pour decrire un environnement en ligne de commande, non une tache effectuee avec une 
application graphique comme l'Explorateur Windows. De meme, l'ecriture de scripts shell 
fait reference a l'assemblage de commandes normalement saisies sur la ligne de commande 
ou dans un fichier executable. 
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Premieres utilisations du shell 

De nombreuses commandes du shell, comme l'affichage du contenu du repertoire de travail, 
sont simples. Cependant, les shells peuventrapidement devenir complexes lorsqu'on souhaite 
effectuer des traitements plus puissants. 

L'exemple suivant affiche le contenu du repertoire de travail : 



r 

$ Is 












apache2 bin 


etc 


include lib 


libexec man 


sbin 


share var 



Tres souvent, la simple presentation des noms de fichiers ne suffit pas et il faut donner un 
argument a la commande pour obtenir plus de details. 



Si ces commandes ne vous sont pas familieres, pas de panique. Nous les donnons uniquement 
a des fins d'illustration, non pour vous enseigner les complexites du shell Bash. 



L' argument passe a la commande suivante permet d'afficher des informations plus detaillees 
sur chaque fichier : 



r 

$ Is -1 






















total 8 






















drwxr-xr 


X 


13 


root 


admin 


442 


Sep 


18 


20: 


:50 


apache2 


drwxrwxr ■ 


X 


57 


root 


admin 


1938 


Sep 


19 


22: 


:35 


bin 


drwxrwxr ■ 


X 


5 


root 


admin 


170 


Sep 


18 


20: 


:50 


etc 


drwxrwxr ■ 


X 


30 


root 


admin 


1020 


Sep 


19 


22: 


:30 


include 


drwxrwxr ■ 


X 


102 


root 


admin 


3468 


Sep 


19 


22: 


:30 


lib 


drwxrwxr ■ 


X 


3 


root 


admin 


102 


Sep 


18 


20: 


: 1 1 


libexec 


lrwxr-xr 


X 


1 


root 


admin 


9 


Sep 


18 


20: 


: 12 


man -> share/man 


drwxrwxr ■ 


X 


3 


root 


admin 


102 


Sep 


18 


20: 


: 1 1 


sbin 


drwxrwxr ■ 


X 


13 


root 


admin 


442 


Sep 


19 


22: 


:35 


share 


drwxrwxr ■ 


X 


3 


root 


admin 


102 


Jul 


30 


21 : 


:05 


var 
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Nous devons a present decider de l'utilisation de ces informations. Comme vous pouvez le 
constater, les repertoires et les fichiers sont melanges. II est done difficile de les distinguer. 
Pour n'afficher que les repertoires, nous pouvons filtrer les resultats en envoyant la sortie de 
la commande Is vers la commande grep. Dans l'exemple suivant, la sortie a ete reduite afin 
de n' afficher que les lignes commencant par la lettre d, qui indique que le fichier est un reper- 
toire {directory). 



r 

$ Is -1 | 


grep 




d' 
















drwxr-xr 


-X 


13 


root 


admin 


442 


Sep 


18 


20: 


;50 


apache2 


drwxrwxr- 


-X 


57 


root 


admin 


1938 


Sep 


19 


22: 


:35 


bin 


drwxrwxr 


-X 


5 


root 


admin 


170 


Sep 


18 


20: 


;50 


etc 


drwxrwxr- 


X 


30 


root 


admin 


1020 


Sep 


19 


22: 


:30 


include 


drwxrwxr 


-x 102 


root 


admin 


3468 


Sep 


19 


22: 


:30 


lib 


drwxrwxr- 


X 


3 


root 


admin 


102 


Sep 


18 


20: 


:11 


libexec 


drwxrwxr- 


-X 


3 


root 


admin 


102 


Sep 


18 


20: 


:11 


sbin 


drwxrwxr 


-X 


13 


root 


admin 


442 


Sep 


19 


22: 


;35 


share 


drwxrwxr- 

>- 


X 


3 


root 


admin 


102 


Jul 


30 


21 : 


:05 


var 



Nous disposons ainsi d'une liste contenant uniquement les repertoires, mais les autres infor- 
mations, comme la date, les autorisations, la taille, etc., sont superflues car seuls les noms des 
repertoires nous interessent. Dans l'exemple suivant, nous utilisons la commande awk pour 
afficher seulement la derniere colonne de la sortie precedente. 



r 

$ Is -1 | grep 1 "d ' 




1 awk 1 { print $NF } ' 


apache2 




bin 




etc 




include 




lib 




libexec 




sbin 




share 




var 





Nous obtenons alors une simple liste des sous-repertoires du repertoire de travail. Cette 
commande est assez directe, mais nous ne voulons pas la saisir chaque fois que nous souhaitons 
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obtenir une liste de repertoires. Nous creons done un alias ou un raccourci de commande 
correspondant a celles que nous venons d'executer. 



$ alias lsd="ls -1 | grep '~d' I awk '{ print \$NF }'" 



Ensuite, grace a l'alias lsd, nous pouvons afficher la liste des sous-repertoires du repertoire 
en cours sans avoir a saisir l'integralite de la commande employee dans les exemples prece- 
dents. 



$ lsd 
apache2 
bin 
etc 

include 
lib 

libexec 
sbin 
share 
var 



Vous pouvez ainsi le deviner, un shell en ligne de commande ouvre de grandes possibilites 
pour 1' automation de simples taches repetitives. 

Premiers scripts shell 

L'utilisation d'un shell consiste a saisir chaque commande, a interpreter la sortie, a choisir 
l'usage de ces donnees et a combiner les commandes en un seul processus depouille. 
Quiconque a deja examine des dizaines de fichiers et ajoute manuellement une seule ligne 
a la fin de chacun d'eux conviendra que les scripts sont aussi vitaux que l'air que nous 
respirons. 

Nous avons vu comment enchainer des commandes dans un pipeline pour manipuler la sortie 
de la commande precedente et comment creer un alias pour reduire la saisie. Les alias sont 
les petits freres des scripts shell et apportent a la ligne de commande une part de la puissance 
des scripts, qui est sans commune mesure avec celle des alias. 
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Reunir des commandes d'une ligne et des pipelines dans des fichiers pour pouvoir les execu- 
ter ulterieurement est une technique puissante. Placer une sortie dans des variables pour y 
faire reference ensuite dans le script et la soumettre a differentes manipulations nous fait 
passer au niveau de puissance superieure. Embarquer des combinaisons de commandes dans 
des boucles recursives et des constructions de controle du flux fait de l'ecriture de scripts une 
forme de programmation. 

Certains diront que ecriture de scripts et programmation sont deux choses differentes. 
Mais c'est faux, en particulier si Ton considere la diversite et la puissance des langages de 
scripts actuels. En ce sens, l'ecriture de scripts n'est pas differente, tout comme la compila- 
tion du code ne signifie pas necessairement que Ton programme. En gardant cela a l'esprit, 
essayons de developper notre commande d'une ligne de la section precedente en quelque 
chose de plus utile. 

Nous disposons d'une liste des sous-repertoires du repertoire de travail. Supposons que nous 
voulions ecrire un outil qui affiche l'espace disque occupe par chaque repertoire. La 
commande bash, qui affiche l'utilisation de l'espace disque, opere sur l'integralite du contenu 
du repertoire indique ou sur la globalite d'un repertoire dans un recapitulatif ; elle donne 
egalement la quantite en octets, par defaut. Si nous souhaitons connaitre l'espace disque 
occupe par chaque repertoire en tant qu'entite autonome, nous devons obtenir et afficher les 
informations pour chaque repertoire, un par un. Les exemples suivants montrent comment 
programmer ce comportement dans un script. 

Rappelez-vous la commande ecrite a la section precedente. La boucle for suivante prend 
chaque repertoire indique dans la liste retournee par cette commande, l'affecte a la variable 
DIR et execute le code qui se trouve entre les mots cles do et done. 



#!/bin/bash 






for DIR in $(ls -1 1 grep 1 ~c 
du -sk ${DIR} 

done 


1 ' 1 awk 1 { print $NF } 1 ) 


; do 



Nous enregistrons ce code dans le fichier de script big_directory . sh. L'execution de ce 
script dans une session Bash produit la sortie suivante. 



Chapitre 1 



Introduction aux shells et a PowerShell 



13 



$ big_directory . sh 

17988 apache2 

5900 bin 

72 etc 

2652 include 

82264 lib 

0 libexec 

0 sbin 

35648 share 

166768 var 



Cette sortie ne semble pas particulierement interessante. En ajoutant quelques instructions, 
nous pouvons ecrire un traitement utile, par exemple pour connaitre les noms des repertoires 
qui occupent plus d'une certaine quantite d'espace disque. Pour cela, modifiez le fichier 
big_directory .sh de la maniere suivante. 

#! /bin/bash 

PRINT_DIR_MIN=35000 

for DIR in $(ls -1 I grep ,"d' I awk ,{ print $NF }'); do 
DIR_SIZE=$(du -sk ${DIR} I cut -f 1) 
if [ ${DIR_SIZE} -ge ${PRINT_DIR_MIN} ];then 
echo ${DIR} 

fi 

done 



Nous avons ajoute des variables. PRINT DIR MIN precise le nombre minimal de kilo-octets 
qu'un repertoire doit occuper pour meriter d'etre affiche. Puisque cette valeur peut etre 
changee relativement souvent, elle doit pouvoir l'etre facilement. De meme, nous pouvons 
la reutiliser ailleurs dans le script afin d'eviter d' avoir a la modifier en de multiples 
endroits. 
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Vous pourriez penser que la commande find pourrait avantageusement remplacer ce script. Cepen- 
dant, nous utilisons cette commande Is compliquee car, si find est parfaitement adaptee au 
parcours des structures hierarchiques, elle est trop lourde pour le simple affichage du 
repertoire courant. Si vous recherchez des fichiers dans une arborescence, nous vous 
conseillons fortement la commande find. Mais, nous examinons simplement les sous-reper- 
toires du repertoire de travail car, dans cet exemple, ils sont les seuls pertinents. 

Voici un exemple de sortie obtenue par notre script. 




Nous pouvons l'exploiter de differentes manieres. Par exemple, les administrateurs systeme 
pourraient se servir de ce script pour surveiller 1' occupation disque des repertoires des 
utilisateurs et leur envoyer un message lorsqu'ils depassent un certain seuil. Pour cela, il 
peut etre interessant de savoir lorsqu'un certain pourcentage des utilisateurs atteint ou 
depasse le seuil. 



Vous devez savoir qu'il existe aujourd'hui sur le marche de nombreux produits commerciaux 
qui avertissent les administrateurs lorsque des seuils d'occupation des disques sont depasses. 
Par consequent, meme si vous pouvez economiser de I'argent en ecrivant un script shell pour 
surveiller I'utilisation generale des disques, ce n'est pas une obligation. Determiner les utili- 
sateurs qui ont atteint un certain seuil est une tache differente, car cela implique des mesures 
proactives afin de prevenir des problemes avant qu'ils ne deviennent hors de controle. La 
solution consiste a avertir I'administrateur que certains utilisateurs doivent etre deplaces sur 
de nouveaux disques en raison de I'espace qu'ils occupent sur les disques actuels. Cette 
methode n'est pas a toute epreuve, mais elle permet d'ajouter facilement une couche de 
surveillance proactive qui evite que les utilisateurs soient confrontes a des problemes sur leur 
machine. Les administrateurs systeme peuvent faire preuve d'imagination et modifier ce 
script en ajoutant des parametres de commande afin d'indiquer la procedure a realiser, 
comme afficher les utilisateurs les plus gourmands en espace disque, et signaler lorsqu'un 
certain pourcentage d'utilisateurs a atteint le seuil critique. Cependant, ce type d'extension 
sort du propos de ce chapitre. 
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Nous modifions ensuite le script pour afficher un message lorsqu'un certain pourcentage des 
repertoires est de la taille precisee. 



#! /bin/bash 



DIR_MIN_SIZE=35000 
DIR PERCENT BIG MAX=23 



DIR_COUNTER=0 
BIG DIR COUNTER=0 




for DIR in $(ls -1 I grep , A d' I awk ,{ print $NF }'); do 
DIR_COUNTER=$(expr ${DIR_COUNTER} + 1) 
DIR_SIZE=$(du -Sk ${DIR} I cut -f 1; 
if [ ${DIR_SIZE} -ge ${DIR_MIN_SIZE} ];then 

BIG_DIR_COUNTER=$(expr ${BIG_DIR_COUNTER} + 1) 

fi 

done 

if [ ${BIG_DIR_COUNTER} -gt 0 ]; then 

DIR_PERCENT_BIG=$(expr $(expr ${BIG_DIR_COUNTER} \* 100) / ${DIR_COUNTER} ) 

if [ ${DIR_PERCENT_BIG} -gt ${DIR_PERCENT_BIG_MAX} ]; then 

echo " ${DIR_PERCENT_BIG} pourcent des repertoires occupent plus de 
${DIR_MIN_SIZE} kilo-octets." 

fi 



fi 



L'exemple precedent ressemble peu a notre script initial. La variable PRINT DIR MIN est 
devenue DIR MIN SIZE, car nous n'affichons plus directement les repertoires qui atteignent la 
taille minimale. La variable DIR PERCENT BIG MAX a ete ajoutee. Elle indique le pourcentage 
maximal autorise de repertoires dont la taille est egale ou superieure a la taille minimale. Par 
ailleurs, deux compteurs sont utilises : le premier (DIR COUNTER) compte le nombre de reper- 
toires et le second (BIG DIR COUNTER) le nombre de repertoires qui depassent la taille mini- 
male. 

A l'interieur de la boucle, DIR COUNTER est incremente et l'instruction if de la boucle for 
incremente a present uniquement BIG DIR COUNTER au lieu d'afficher le nom du repertoire. 
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Une instruction if a ete ajoutee apres la boucle for pour proceder au calcul du pourcentage 
des repertoires depassant la taille minimale, puis afficher le message si necessaire. Suite a ces 
modifications, le script produit la sortie suivante : 



$ big_directory.sh 

33 pourcent des repertoires occupent plus de 35000 kilo-octets. 



Elle signale que 33 % des repertoires ont une taille superieure ou egale a 35 Mo. En modi- 
fiant la ligne echo du script de maniere a alimenter un pipeline vers une commande d' envoi 
de courrier et en ajustant les seuils de taille et de pourcentage a leur environnement, les admi- 
nistrate urs systeme peuvent planifier 1' execution de ce script a differents moments et generer 
facilement des rapports d'occupation des repertoires. S'ils souhaitent aller plus loin, ils peuvent 
ajouter des parametres au script afin de preciser les seuils de taille et de pourcentage. 

Vous pouvez le constater, meme un script shell de base peut etre puissant. Avec une vingtaine 
de lignes de code, nous avons cree un script tres utile. Certaines bizarreries pourraient sembler 
genantes (par exemple, l'utilisation de la commande expr pour realiser des calculs mathema- 
tiques simples), mais tout langage de programmation a ses forces et ses faiblesses. De maniere 
generale, certaines des taches sont plus complexes a accomplir que d'autres, quel que soit le 
langage choisi. 

De cette introduction, vous devez retenir que l'ecriture de scripts permet de vous simplifier 
la vie. Par exemple, supposons la fusion de deux societes. Au cours de cette operation, il est 
necessaire de creer mille comptes d'utilisateurs dans Active Directory, ou n'importe quel 
autre systeme d'authentification. En general, un administrateur systeme prend la liste des 
utilisateurs, s'assoit devant son clavier avec une tasse de cafe et commence a cliquer ou a 
saisir les donnees. S'il dispose du budget necessaire, il peut embaucher une personne pour 
effectuer le travail ou acheter un logiciel de migration. Mais pourquoi effectuer des taches 
repetitives ou depenser de 1' argent qui pourrait etre mieux utilise (pour un meilleur salaire) ? 

A la place de cette methode, il est preferable d'automatiser ces taches en utilisant des scripts. 
L' automation constitue la finalite de l'ecriture des scripts. En tant qu' administrateur systeme, 
pour disposer des memes fonctionnalites que les developpeurs lorsqu'ils codent les systemes 
que vous administrez, vous devez exploiter les scripts avec des shells en ligne de commande 
ou des interpreters de commandes. Cependant, l'ecriture de scripts est un domaine qui a 
tendance a etre plus ouvert, plus flexible et plus cible sur les taches que vous, en tant que 
professionnel des systemes d'information, devez accomplir. 
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Historique des shells 

Le premier interpreters de commandes largement utilise a ete le shell Bourne. II s'agit de 
l'interface utilisateur standard sur le systeme d' exploitation UNIX et ces systemes en ont 
encore besoin pour la phase d'initialisation. Ce shell robuste dispose des pipelines et de 
1' execution conditionnelle et recursive des commandes. II a ete developpe par des program- 
meurs C pour des programmeurs C. 

Cependant, bien qu'il ait ete ecrit par et pour des programmeurs C, le shell Bourne n'utilise 
pas un style d'ecriture analogue a ce langage. Cette absence de similitude avec le langage C 
a conduit a la creation du shell C, lequel dispose des structures de programmation plus 
conformes a C. Pendant qu'ils ecrivaient un "meilleur" shell, les developpeurs ont decide 
d'ajouter l'edition de la ligne de commande et les alias de commandes (des raccourcis) pour 
repondre a la hantise de tout utilisateur d'UNIX, c'est-a-dire la saisie des commandes. Moins 
il a de caracteres a saisir, plus l'utilisateur d'UNIX est heureux. 

La majorite des utilisateurs d'UNIX a apprecie le shell C, mais, neanmoins, l'apprentissage 
d'un shell totalement nouveau s'est revele un veritable defi pour certains. C'est pourquoi le 
shell Korn a ete invente. II a ajoute certaines fonctionnalites du shell C au shell Bourne. 
Mais, puisque ce shell Korn etait un produit commercial, la communaute des logiciels open 
source avait besoin d'un autre shell pour Linux et FreeBSD. C'est ainsi que le Bourne Again 
Shell, ou Bash, a ete propose par la FSF {Free Software Foundation). 

Outre le developpement d'UNIX et la naissance de Linux et de FreeBSD, d'autres systemes 
d' exploitation sont arrives, avec leur propre shell. DEC {Digital Equipment Corporation) a 
sorti VMS {Virtual Memory System) pour concurrencer UNIX sur ses systemes VAX. Le 
shell de VMS se nommait DCL {Digital Command Language) et employait une syntaxe 
verbeuse, contrairement a ses homologues UNIX. Par ailleurs, il n'etait pas sensible a la 
casse et ne disposait pas des pipelines. 

Puis, a un moment donne, le PC est ne. IBM a positionne cette machine sur le marche des 
entreprises et Apple a repris une technologie materielle similaire avec les consommateurs 
pour cible. Microsoft a cree DOS pour 1'IBM PC, en lui donnant le role de noyau et de shell 
et en le dotant de certaines fonctionnalites des autres shells (la syntaxe des pipelines vient 
d'UNIX). 

Apres DOS est venu Windows, avec un shell graphique qui a depuis servi de base aux shells 
Microsoft. Malheureusement, les shells graphiques ont la reputation d'etre difficiles a scrip- 
ter et Windows a done propose un environnement de type DOS. II a ete ameliore par un 
nouvel executable, cmd.exe a la place de command.com, et par des fonctionnalites d'edition 
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de la ligne de commande plus robustes. Cependant, cette evolution signifiait egalement que 
les scripts shell de Windows devaient etre reecrits avec la syntaxe de DOSShell pour reunir 
et executer des groupes de commandes. 

Microsoft a pris conscience de son erreur et a decide que les administrateurs systeme devai- 
ent disposer d'outils plus elabores pour gerer les systemes Windows. WSH (Windows Script 
Host) est arrive avec Windows 98 et a donne aux natifs un acces aux composants sous-jacents 
de Windows. II s'agissait d'une bibliotheque permettant aux langages de scripts d'utiliser 
Windows de maniere efficace et puissante. WSH n'etant pas un langage en soi, il fallait un 
langage de scripts compatible pour l'exploiter, comme par exemple JScript, VBScript, Perl, 
Python, Kixstart ou Object REXX. Certains de ces langages sont bien adaptes a la mise en 
oeuvre de processus complexes et WSH etait done une benediction pour les administrateurs 
de systemes Windows. 

Pourtant, les rejouissances ont ete de courte duree, car rien ne garantissait que le langage de 
scripts compatible WSH choisi par l'administrateur serait disponible ou une solution viable 
pour tout le monde. L' absence de langage et d'environnement standard pour l'ecriture de 
scripts ne permettait pas aux utilisateurs et aux administrateurs d'inclure facilement une 
procedure d'automation avec WSH. La seule maniere d'etre certain que le langage de scripts 
ou la version de WSH etait compatible avec le systeme administre consistait a utiliser un 
langage de scripts natif, e'est-a-dire DOSShell, et a accepter les problemes y afferents. Par 
ailleurs, WSH ouvrait une porte aux attaques par code malveillant. Cette vulnerabilite a 
donne naissance a un flot de virus, de vers et autres programmes indelicats qui ont cause de 
nombreux degats sur les systemes informatiques, et cela a cause de 1' accent mis sur 1' auto- 
mation sans intervention de l'utilisateur. 

Au final, les administrateurs systeme ont vu en WSH autant une benediction qu'une maledic- 
tion. Meme si WSH arborait un bon modele d'objets et donnait acces a de nombreuses inter- 
faces d'automation, il ne s'agissait pas d'un shell. II exigeait l'utilisation de wscript . exe et 
de Cscript . exe, les scripts devaient etre ecrits dans un langage compatible et ses vulnerabi- 
lites ont represents un defi de securite. Tres clairement, une approche differente etait neces- 
saire pour 1' administration des systemes. Microsoft est arrive a la meme conclusion. 

Arrivee de PowerShell 

Microsoft n'a pas consacre beaucoup d' efforts a un shell en ligne de commande. A la place, 
il s'est concentre sur un shell graphique, plus compatible avec ses systemes d' exploitation 
graphiques. (Mac OS Xn'apas nonplus beaucoup travaillesurun shell en ligne de commande ; 
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il utilise le shell Bash.) Cependant, le DOSShell resultant presentait diverses limites, comme 
les structures de programmation conditionnelle et recursive peu documentees et une utilisa- 
tion importante des instructions goto. Pendant des annees, tous ces points ont gene les auteurs 
de scripts shell, qui se sont tournes vers d'autres langages de scripts ou ont ecrit des program- 
mes compiles pour resoudre les problemes classiques. 

La standardisation de WSH dans les systemes d' exploitation Windows a offert une alterna- 
tive robuste aux scripts DOSShell. Malheureusement, cet outil presentait de nombreux 
defauts, comme l'a explique la section precedente. D'autre part, WSH ne permettait pas une 
utilisation en ligne de commande telle que la connaissaient depuis des annees les administra- 
teurs UNIX et Linux. A cause de 1' absence d'un shell en ligne de commande et des avantages 
qu'il procure, les administrateurs Windows ont ete railles par leurs collegues du monde 
UNIX. 

Heureusement, Jeffrey Snover (l'architecte de PowerShell) et les autres membres de l'equipe 
de developpement de PowerShell ont compris que Windows avait besoin d'un shell en ligne 
de commande robuste et sur pour 1' administration des systemes. PowerShell a ete concu 
comme un shell, avec un acces complet aux composants de Windows, par 1' intermediate de 
.NET Framework, des objets COM (Component Object Model) et d'autres methodes. II offre 
egalement un environnement d'execution familier, simple et securise. Le nom PowerShell est 
parfaitement choisi, en ce sens qu'il augmente la puissance du shell de Windows. Pour les 
utilisateurs qui souhaitent automatiser leurs systemes Windows, l'arrivee de PowerShell est 
tres excitante car il combine "la puissance de WSH et la familiarite d'un shell". 

Puisque PowerShell fournit un langage de scripts natif, les scripts peuvent etre places sur 
tous les systemes Windows sans avoir a s'inquieter de 1' installation d'un interpreteur de 
langage particulier. Vous avez peut-etre appris la syntaxe imposee par l'emploi de WSH dans 
Perl, Python, VBScript, JScript ou tout autre langage, pour vous apercevoir que le systeme 
sur lequel vous travaillez a present ne dispose pas de 1' interpreteur adequat. Chez eux, les 
utilisateurs peuvent installer tout ce qu'ils souhaitent sur leur systeme et assurer sa mainte- 
nance comme bon leur semble. En revanche, dans une entreprise, cette situation n'est pas 
toujours viable. PowerShell resout ce probleme en n'imposant pas la presence d'interpre- 
teurs non natifs. Par ailleurs, il evite de parcourir les sites Web a la recherche d'equivalents 
en ligne de commande aux operations simples du shell graphique et a les coder dans des 
fichiers .cmd. Enfin, PowerShell s'attaque au probleme de securite de WSH, en fournissant 
une plate-forme d'ecriture de scripts Windows stirs. II se concentre sur les fonctionnalites de 
securite comme la signature des scripts, 1' absence d' extensions d'executables et les politi- 
ques d'execution (restreintes par defaut). 
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Pour quiconque a besoin d'automatiser des taches d' administration sur un systeme Windows, 
PowerShell apporte une puissance bienvenue. Sa nature orientee objet augmente egalement 
ses possibilites. Si vous etes un administrateur de systemes Windows ou un developpeur de 
scripts, nous vous conseillons fortement de devenir un expert PowerShell. 

PowerShell n'est pas un projet secondaire chez Microsoft. L'equipe de developpement a 
reussi a creer un shell stupefiant et a gagner un soutien au sein de Microsoft. Par exemple, 
l'equipe d'Exchange a adopte PowerShell comme support de l'interface de gestion d'Exchange 
Server 2007. Et ce n'est que le debut. D'autres produits de Microsoft, comme System Center 
Operations Manager 2007, System Center Data Protection Manager V2 et System Center Virtual 
Machine Manager, vont beneficier de tous les avantages de PowerShell. 

En realite, PowerShell constitue la solution que Microsoft recherchait pour une interface 
generale de gestion des systemes Windows. Dans le futur, PowerShell pourrait remplacer les 
interfaces actuelles, comme cmd.exe, WSH, les outils en ligne de commande, etc., et etre 
totalement integre aux systemes Windows. Avec la creation de PowerShell, Microsoft a 
repondu aux besoins d'un shell Windows en ligne de commande. Les administrateurs de 
systemes Windows et les developpeurs de scripts n'ont plus que leur imagination comme 
seule limite. 

En resume 

Ce chapitre a introduit la notion de shell, l'origine des shells, comment les utiliser et comment 
creer un script shell de base. En etudiant ces aspects, vous devez avoir compris pourquoi 
l'ecriture de scripts est aussi importante pour les administrateurs systeme. Comme vous l'avez 
peut-etre decouvert, les scripts leur permettent d'automatiser les taches repetitives. lis peuvent 
ainsi travailler plus efficacement et passer plus de temps sur des taches plus importantes. 

D'autre part, ce chapitre a presente PowerShell et les raisons de son existence. Ainsi, 
PowerShell est le remplacant de WSH, qui, malgre sa puissance, affichait plusieurs defauts 
(les plus notables ayant trait a la securite et l'interoperabilite). PowerShell etait egalement 
indispensable car il manquait a Windows un shell en ligne de commande digne de ce nom, 
en mesure d'effectuer facilement des taches d'automation complexes. Pour remplacer WSH 
et ameliorer l'interpreteur en ligne de commande de Windows, Microsoft a cree PowerShell. 
II s'appuie sur .NET Framework et apporte le support tant attendu aux scripts et a 1' automa- 
tion sous Windows. 
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Dans ce chapitre 

■ Introduction 

■ Avant de commencer 

■ Acceder a PowerShell 

■ Comprendre l'interface en ligne de commande 

■ Comprendre les applets de commande 

■ Quelques applets de commande utiles 

■ Expressions 

■ Comprendre les variables 

■ Comprendre les alias 

■ Sequences d'echappement 

■ Comprendre les portees 

■ Premier script 

Introduction 

Ce chapitre va nous emmener directement dans les bases techniques de PowerShell et de son 
utilisation. Nous telechargerons et installerons PowerShell, travaillerons avec son interface 
en ligne de commande (CLI, Command-line Interface), utiliserons des applets de commande, 
definirons des variables, creerons des alias, examinerons les portees et ecrirons un premier 
script. II ne s'agit pas d'un guide de demarrage complet mais ce chapitre s'interesse aux 
concepts importants que vous devez comprendre avant d'aborder les autres. 
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Avant de commencer 

La meilleure maniere de debuter avec PowerShell consiste a visiter sa page Web a l'adresse 
www.microsoft.com/windowsserver2003/technologies/management/powershell/ 
default.mspx (voir Figure 2.1). 
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Figure 2. 1 

La page d'accueil de PowerShell sur le site de Microsoft. 



A partir de cette page, nous pouvons obtenir des informations sur PowerShell, telecharger de la 
documentation et des outils, ainsi qu' obtenir les dernieres nouvelles et les dernieres versions de 
PowerShell. Nous allons telecharger et installer PowerShell, mais vous devez commencer par 
verifier que la configuration de votre systeme respecte les contraintes suivantes : 

■ Windows XP Service Pack 2, Windows 2003 Service Pack 1 ou une version ulterieure 
de Windows ; 

II Microsoft .NET Framework 2.0. 
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Si .NET Framework 2.0 n'est pas installe sur votre machine, vous pouvez telecharger son 
module d' installation depuis le centre de telechargement de Microsoft a l'adresse http://www 
.microsoft.com/downloads/Search.aspx?displaylang=fr (voir Figure 2.2). 
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Figure 2.2 

Le Centre de telechargement de Microsoft. 



Apres avoir installe .NET Framework 2.0, vous devez telecharger le module d' installation de 
PowerShell a partir de www.microsoft.com/windowsserver2003/technologies/manage- 
ment/powershell/download.mspx (voir Figure 2.3). 

Sur cette page, choisissez le module correspondant a votre version de Windows, en mode 
x86 ou x64. Cliquez sur le lien intitule "Localized Package" pour selectionner la version 
francaise de PowerShell. Ensuite, lancez 1' installation de PowerShell en cliquant sur Ouvrir 
dans la boite de telechargement ou en double-cliquant sur le fichier telecharge. (Le nom du 
fichier differe selon la plate-forme, la version de Windows et la langue.) Apres le demarrage 
de 1' installation, suivez les instructions d' installation affichees. 
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iC How to Download Windows PowerShell 1 .0 - Windows Internet Exploi 
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Figure 2.3 

Telecharger Windows PowerShell 1.0. 



Vous pouvez egalement installer PowerShell en mode silencieux depuis la ligne de commande, 
en passant 1' option /quiet au fichier d' installation. Cette methode peut etre utile si vous 
prevoyez d'installer PowerShell sur plusieurs systemes differents et souhaitez effectuer 
1' installation par un script d'ouverture de session, par SMS (Systems Management Server) ou 
tout autre logiciel d' administration. Pour effectuer une installation silencieuse, procedez 
comme suit : 

1 . Cliquez sur Demarrer > Executer. 

2. Saisissez cmd, puis cliquez sur OK pour ouvrir une invite de commande. 

3. Saisissez Nom-du-fichier-d'installation-de-PowerShell /quiet (en remplacant le texte 
en italique par le nom du fichier d' installation que vous avez telecharge) et appuyez sur 
Entree. 
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Acceder a PowerShell 

Apres avoir installe PowerShell, vous disposez de trois methodes pour y acceder. Pour 
employer la premiere, utilisez le menu Demarrer : 

1. Cliquez sur Demarrer > Tous les programmes > Windows PowerShell 1.0. 

2. Cliquez sur Windows PowerShell. 
Voici les etapes de la deuxieme methode : 

1 . Cliquez sur Demarrer > Executer. 

2. Saisissez PowerShell dans la boite de dialogue Executer et cliquez sur OK. 
Ces deux methodes ouvrent la console PowerShell presentee a la Figure 2.4. 




Figure 2.4 

La console de PowerShell. 



Les etapes de la troisieme methode repondent a une invite de commande : 

1 . Cliquez sur Demarrer > Executer. 

2. Saisissez cmd, puis cliquez sur OK pour ouvrir une invite de commande. 

3. A l'invite de commande, saisissez powershell (voir Figure 2.5) et appuyez sur Entree. 
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C:\WINDOWS\system32 



C:\>powershell 
Windows Power She 1 1 

Copyright <C> 2006 Microsoft Corporation . Tons droits reserves . 



B 



Figure 2.5 

Ouverture de la console PowerShell depuis I'invite de commande. 



Comprendre I'interface en ligne de commande 

La syntaxe d' utilisation de PowerShell en ligne de commande est analogue a celle des autres 
shells dans le meme mode. L' element fondamental d'une commande PowerShell est, bien 
entendu, son nom. Par ailleurs, une commande peut etre rendue plus specifique en utilisant 
des parametres et leurs arguments. Voici les formats d'une commande PowerShell : 



[nom de commande] 

[nom de commande] -[parametre] 

[nom de commande] -[parametre] 

[nom de commande] -[parametre] 




[parametre] [argumentl] 
[parametre] [argumentl ] , [argument2] 




Info 



Dans PowerShell, un parametre est une variable acceptee par une commande, un script ou 
une fonction. Un argument est une valeur affectee a un parametre. Bien que ces termes 
soient souvent employes de maniere interchangeable, n'oubliez pas ces definitions dans le 
contexte PowerShell. 
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Voici un exemple d'utilisation d'une commande, d'un parametre et d'un argument. II s'agit 
de la commande dir, avec le parametre /w (qui affiche la sortie de dir dans un format large) 
et l'argument C: \ temp\* . txt : 



r 

C: \>dir /w C: \temp* .txt 
Le volume dans le lecteur C s 1 appelle OS 
Le numero de serie du volume est 1784-ADF9 




Repertoire de C:\temp 




Memo Eric. txt mediapc.txt note. txt 

4 fichier(s) 953 octets 
0 Rep(s) 16 789 958 656 octets 


Versionl . txt 
libres 


C:\> 


<* 



Le resultat de cette commande est une liste, dans un format large, de tous les fichiers .txt 
contenus dans le repertoire C: \temp. Si vous invoquez la commande dir sans parametres ni 
arguments, le resultat est totalement different. C'est egalement ainsi que fonctionne 
PowerShell. Par exemple, voici une commande PowerShell qui affiche des informations 
concernant le processus d' explorer.exe : 



r 

PS C:\> 


get-process -Name 


explorer 




^ 


Handles 


NPM(K) PM(K) 


WS(K) VM(M) 


CPU(S) 


Id ProcessName 


807 


20 31672 


14068 149 


62,95 


1280 explorer 


PS C:\> 











Dans cet exemple, Get - Process est la commande, -Name est le parametre et explorer est l'argu- 
ment. Cette commande affiche les informations concernant le processus d' explorer.exe. Si 
aucun parametre ni argument n'est utilise, elle affiche simplement les informations concernant 
tous les processus en cours et non un seul. Pour modifier le comportement d'une commande ou 
lui demander d'effectuer autre chose que son operation par defaut, il faut comprendre sa syntaxe. 
La commande Get -Help, decrite a la section "Quelques applets de commandes utiles", page 41, 
fournit des informations detaillees sur le role d'une commande et son utilisation. 
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Utiliser la ligne de commande 

Comme pour tout shell en ligne de commande, nous devons apprendre a nous deplacer dans 
la ligne de commande de PowerShell pour l'utiliser efficacement. Le Tableau 2.1 donne la 
liste des operations d'edition associees aux differentes touches disponibles dans la console 
PowerShell. 



Tableau 2.1 Fonctions d'edition de la console de PowerShell 



T/1 1 irhac 

1 UUll 1C3 


l_/|Jtrl d UUI 1 U crUILKJII 


Fleches vers la gauche 


Deplacent le curseur vers la gauche et vers la droite sur la ligne 


et vers la droite 


de commande en cours. 


Fleches vers le haut 


Parcourent la liste des dernieres commandes saisies, vers le debut 


et vers le bas 


et la fin. 


1 riser. 


Bascule en mode insertion et remplacement du texte. 


Suppr. 


Supprime le caractere a la position courante du curseur. 


Espace arriere 


Supprime le caractere qui se trouve juste avant la position courante 




du curseur. 


F7 


Affiche la liste des dernieres commandes saisies dans une fenetre, 




par-dessus le shell de commande. Les touches Fleche vers le haut et 




Fleche vers le bas permettent de selectionner I'une des commandes. 




La touche Entree execute la commande selectionnee. 


Tab 


Complete automatiquement les elements de la ligne de commande. 




La combinaison Maj+Tab permet de revenir en arriere dans la liste 




des correspondances possibles. 



Heureusement, la plupart des operations mentionnees au Tableau 2.1 existent deja dans 
l'interpreteur de commande de Windows, ce qui permet aux administrateurs systeme d' adop- 
ter plus facilement PowerShell. La principale difference reside dans la touche Tab pour la 
completion automatique. Elle a ete etendue dans PowerShell. 

Comme l'interpreteur de commande Windows, PowerShell complete automatiquement les 
noms de fichiers et de repertoires. Si nous saisissons un nom partiel et appuyons sur la 
touche Tab, PowerShell retourne le premier nom de fichier ou de repertoire correspondant 
dans le repertoire de travail. Si nous appuyons a nouveau sur Tab, nous obtenons la 
deuxieme correspondance possible. Les appuis repetes sur Tab parcourent la liste des resultats. 
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La completion automatique peut egalement tenir compte des caracteres generiques, comme 
le montre l'exemple suivant : 



PS C:\> cd C:\Doc* 
<tab> 

PS C:\> cd 'C:\Documents and Settings' 
PS C:\Documents and Settings> 



La completion automatique de PowerShell concerne egalement les commandes. Par exem- 
ple, nous pouvons saisir un nom de commande partiel et appuyer sur la touche Tab afin que 
PowerShell parcoure la liste des commandes possibles : 



PS C:\> get-pro 
<tab> 

PS C:\> get-process 



PowerShell complete egalement les noms de parametres associes a une commande. II suffit 
de saisir une commande et un nom de parametre partiel, puis d' appuyer sur la touche Tab. 
PowerShell itere alors sur les parametres de la commande precisee. Cette methode s'appli- 
que egalement aux variables associees a une commande. Par ailleurs, PowerShell effectue 
une completion automatique des methodes et des proprietes des variables et des objets. 
Prenons l'exemple d'une variable nominee $z et fixee a la valeur "Variable" : 



r 

PS 


C: 


\> 


$z 


= "Variable" 


PS 

L 


C; 


\> 


$z. 


,<tab> 



Une fois que vous avez saisi $z et appuye sur la touche Tab, PowerShell propose toutes 
les operations possibles sur la variable $z. Par exemple, si nous choisissons la propriete 
$z. Length et appuyons sur Entree, il retourne la taille de la chaine contenue dans la 
variable $z : 



PS C:\> $Z = "Variable" 

PS C:\> $Z. 

<tab> 

PS C:\> $Z. Length 
8 

PS C:\> 



30 Partie 1 



Introduction a PowerShell 



La completion automatique des variables distingue les proprietes et les methodes. Les 
proprietes sont affichees sans parenthese ouvrante (comme dans l'exemple $z . Length) et les 
methodes sont presentees avec cette parenthese : 



PS C:\> 


$Z 


= "Variable" 


PS C:\> 


$z. 


. con 


<tab> 






PS C:\> 

>- 


$z. 


,Contains( 



Lorsque l'invite $z. Contains ( apparait, voici comment determiner si la variable $z contient 
le caractere V : 



PS C: \> $Z = "Variable" 
PS C:\> $Z.Contains("V") 
True 
PS C:\ 



PowerShell corrige automatiquement la casse des noms de methodes ou de proprietes arm 
qu'elle corresponde a leur definition. Dans la plupart des cas, cette fonctionnalite n'est que 
cosmetique car, par defaut, PowerShell n'est pas sensible a la casse. 

Types de commandes 

Lorsqu'on execute une commande dans PowerShell, l'interpreteur en examine le nom arm de 
definir la tache a effectuer. Ce processus determine le type de la commande et la maniere de 
l'executer. II existe quatre types de commandes PowerShell : applets de commande, fonc- 
tions shell, scripts et commandes natives. 

Applets de commande 

Les premieres sortes de commandes sont appelees applets de commande (cmdlei). Elles 
sont equivalentes aux commandes internes des autres shells en ligne de commande. 
Cependant, elles sont implementees a l'aide de classes .NET compilees dans une bibliothe- 
que dynamique (DLL, Dynamic Link Library) et chargees par PowerShell au moment de 
1' execution. Cette difference signifie que les applets de commande integrees ne sont pas 
figees ; tout le monde peut utiliser le kit de developpement (SDK, Software Developers Kit) 
de PowerShell pour ecrire ses propres applets et etendre les fonctionnalites de PowerShell. 
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Le nom d'une applet de commande est toujours compose d'un verbe et d'un nom separe par 
un tiret (-). Le verbe precise l'operation effectuee par l'applet et le nom indique l'objet 
concerne par l'operation. Pour plus d' informations sur les applets de commande et leur 
syntaxe, consultez la section "Comprendre les applets de commande", page 39. 

Fonctions shell 

Les fonctions shell represented le deuxieme type de commandes. Une fonction shell permet 
d'affecter un nom a une liste de commandes. Les fonctions sont comparables aux sous-routi- 
nes et aux procedures dans d'autres langages de programmation. Un script differe d'une 
fonction en cela qu'une nouvelle instance du shell est demarree pour chaque script alors que 
les fonctions s'executent dans l'instance courante du shell. Voici un exemple de definition 
d'une fonction simple dans PowerShell : 



PS C:\> function ma -fonction -dir {get -childitem | ft Mode, Name} 



Apres avoir defini ma-fonction-dir, nous pouvons l'executer pour afficher le contenu du 
repertoire de travail dans un format particulier : 



r 

PS C: 


\Travail> ma-fonction-dir 




Mode 




Name 


d 




Livres 


d 




Dev 


d 




Outils 


d 




VM 


-a- - • 




Memo Eric.txt 


-a- - • 




Configurer des certificats.doc 


-a- - • 




mediapc . txt 


PS C: 


\Travail> 





Nous pouvons examiner le deroulement d'une fonction dans la console en activant le debo- 
gage. Pour cela, utilisons la commande suivante : 



PS C:\Travail> set-psdebug -trace 2 
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Ensuite, executons la fonction : 



PS D:\Travail> ma -fonction -dir 

DEB0GUER : 1+ ma -fonction -dir 

DEBOGUER : ! CALL function ' ma -fonction -dir ' 

DEBOGUER : 1+ function ma-fonction-dir {get -childitem | ft Mode, Name} 



Lorsque la fonction ma-fonction-dir est placee sur la pile, PowerShell execute l'applet de 
commande Get -Childitem comme indique dans la fonction. Pour desactiver le debogage, 
saisissez la commande Set-PSDebug -trace 0. 



— Info 

Les fonctions definies sur la ligne de commande, comme ma-fonction-dir, n'existent que 
pour la duree de la session PowerShell en cours. Elles sont egalement locales et ne s'appli- 
quent pas aux nouvelles sessions PowerShell. Pour plus d'informations, consultez la section 
"Comprendre les portees", page 59. 



Meme si une fonction definie au niveau de la ligne de commande est utile pour creer dyna- 
miquement une suite de commandes dans l'environnement PowerShell, de telles fonctions 
resident uniquement en memoire et sont effacees lorsque PowerShell est ferme. Par conse- 
quent, l'ecriture de ces fonctions sous forme de scripts peut etre plus pratique. 

Scripts 

Les scripts, le troisieme type de commandes, sont des commandes PowerShell enregistrees 
dans des fichiers .psl. Contrairement aux fonctions shell, qui ne sont pas conservees entre 
les sessions, ils sont stockes sur le disque et peuvent etre invoques a tout moment. 

Les scripts peuvent etre executes dans une session PowerShell ou par l'interpreteur de 
commandes de Windows. Pour lancer un script dans PowerShell, saisissez son nom sans 
l'extension. Ce nom peut etre suivi d'un nombre quelconque de parametres. Le shell execute 
alors le premier fichier .psl qui correspond au nom indique et qui se trouve dans l'un des 
chemins mentionnes dans la variable PowerShell $ENV : PATH. 



PS C:\> monscript arg1 arg2 
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La commande precedente execute le script monscript . psl en utilisant les arguments argl et 
arg2, si le script se trouve dans l'un des chemins de la variable $ENV : PATH. Dans le cas 
contraire, nous devons preciser son emplacement par l'une des deux methodes suivantes : 



PS C:\> & 'C:\Mes Scripts\monscript . ps1 ' argl arg2 
PS C: \Scripts> . \monscript . ps1 argl arg2 



L'operateur d'appel & a ete utilise dans I'exemple precedent car le chemin du script contient 
des espaces et son nom doit done etre place entre des apostrophes. Cet operateur demande 
au shell d'evaluer la chaine comme une commande. Si le chemin ne contient pas d'espace, 
vous pouvez omettre l'operateur & ainsi que les apostrophes autour du nom du script. 



Pour executer un script PowerShell depuis l'interpreteur de commandes de Windows, nous 
pouvons tout d'abord invoquer la commande cd pour aller dans le repertoire qui contient le 
script, puis lancer 1' executable de PowerShell avec le parametre -command, en precisant le 
script a executer : 



C: \Scripts>powershell -command . \monscript . ps1 



Si nous ne souhaitons pas aller dans le repertoire du script avec la commande cd, nous 
pouvons 1' executer en utilisant un chemin absolu : 



C: \>powershell -command C:\Scripts\monscript.ps1 



Dans PowerShell, il est important de preter attention aux autorisations de securite des scripts. 
Par defaut, leur execution est interdite. II s'agit la d'une methode de protection contre les 
scripts malveillants. Cette strategie peut etre modifiee a l'aide de 1' applet de commande Set - 
ExecutionPolicy, que nous etudierons au Chapitre 3, "Presentation avancee de PowerShell". 

Commandes natives 

Le dernier type de commandes, les commandes natives, est constitute des programmes exter- 
nes que le systeme d'exploitation peut executer. Puisque l'invocation d'une commande native 
declenche la creation d'un nouveau processus, elles sont moins efficaces que les autres types 
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de commandes PowerShell. Elles possedent egalement leurs propres parametres pour le trai- 
tement des commandes, qui sont generalement differents des parametres de PowerShell. 

La gestion du focus des commandes natives par PowerShell peut representer un probleme 
d'utilisation majeur. Lorsqu'une commande native s'execute, PowerShell peut attendre 
qu'elle se termine ou poursuivre son traitement. Prenons l'exemple suivant : 



PS C:\> .\monfichier.txt 
PS C:\> 



L'invite de PowerShell est reaffichee presque immediatement et l'editeur par defaut des 
fichiers ayant l'extension . txt demarre et affiche C : \monfichier . txt. Si l'editeur de texte par 
defaut n'a pas ete change, notepad . exe est lance et ouvre C: \monfichier.txt. 

— Info 

PowerShell dispose d'une fonction de securite unique. Pour executer ou ouvrir un fichier du 
repertoire de travail, vous devez prefixer la commande avec . \ ou . / . Cette caracteristique 
de securite evite aux utilisateurs de PowerShell de lancer par megarde une commande native 
ou un script sans preciser explicitement son execution. 



Le meme comportement se produit lorsqu'on indique explicitement une commande native : 



PS C:\> notepad C:\monfichier.txt 
PS C:\> 



Dans cet exemple, le fichier C:\monfichier.txt est ouvert dans Notepad et l'invite de 
PowerShell revient immediatement. Cependant, si nous executons une commande native au 
beau milieu d'un pipeline (voir le Chapitre 1, "Introduction aux shells et a PowerShell"), 
PowerShell attend la fin du processus externe avant de repasser le controle a la console : 



PS C:\> ping monserveur | findstr "TTL" 

Reponse de 10.0.0.2 : octets=32 temps<lms TTL=126 

Reponse de 10.0.0.2 : octets=32 temps<lms TTL=126 

Reponse de 10.0.0.2 : octets=32 temps<lms TTL=126 

Reponse de 10.0.0.2 : octets=32 temps<lms TTL=126 
PS C:\> 
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PowerShell attend la fin du processus ping avant de redonner le controle a la console et de termi- 
ner le pipeline. Lorsque cette commande est executee (en remplacant monserveur par le nom d'un 
note sur votre reseau local), 1' invite de PowerShell disparait brievement pendant que la sortie 
de la commande ping est envoyee a la commande findstr pour qu'elle recherche la chaine 
"TTL". L' invite de PowerShell ne revient que lorsque la commande native est terminee. 

Invoquer PowerShell depuis d'autres shells 

Outre l'utilisation en ligne de commande que nous venons de presenter, il est possible d'appe- 
ler PowerShell depuis d'autres shells, par exemple depuis l'interpreteur de commandes de 
Windows. Lorsque PowerShell est invoque comme une application externe, nous pouvons 
preciser differentes commandes, parametres et arguments. La commande suivante affiche 
1' ensemble des commandes, parametres et arguments disponibles lorsque PowerShell est 
utilise depuis l'interpreteur de commandes de Windows : 



C: \>powershell -? 

powershell[ . exe] [PSConsoleFile <file> | -Version <version>] 
[-NoLogo] [-NoExit] [ -NoProfile] [ -Nonlnteractive] 
[ -OutputFormat {Text | XML}] [ -InputFormat {Text I XML}] 
[-Command { - | <bloc_script> [-args <tableau_arguments>] 
| <chaine> [<parametres_commande>] } ] 

powershell[.exe] -Help | -? I /? 
-PSConsoleFile 

Charge le fichier console de Windows PowerShell specifies. Pour creer 
un fichier console, utilisez Export -Console dans Windows PowerShell. 

-Version 

Demarre la version de Windows PowerShell specifiee. 
-NoLogo 

Masque la banniere de copyright au demarrage. 
-NoExit 

Ne quitte pas apres execution des commandes de demarrage. 
-NoProfile 

N 1 utilise pas le profil utilisateur. 

-Noninteractive 

Ne presente pas d'invite interactive a l'utilisateur. 
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-OutputFormat 

Indique comment la sortie de Windows PowerShell est mise en forme. Les 
valeurs valides sont "Text" (chaines de texte) ou "XML" (format CLIXML 
serialise) . 

-InputFormat 

Decrit le format des donnees envoyees a Windows PowerShell. Les valeurs 
valides sont "Text" (chaines de texte) ou "XML" (format CLIXML serialise). 

-Command 

Execute les commandes specifiers (et tous parametres) comme si elles avaient 
ete tapees a 1' invite de commande de Windows PowerShell, puis quitte sauf 
si NoExit est specifies. La valeur de Command peut etre une chaine ou 

un bloc de script. 

Si la valeur de Command est le texte de la commande est lu a partir 

de l'entree standard. 

Les blocs de script doivent etre entre accolades ({}). Vous ne pouvez 
specifier un bloc de script qu'en executant PowerShell.exe dans Windows 
PowerShell. Les resultants du script sont retournes a 1 1 environnement 
parent en tant qu'objets XML deserialises, et non en direct. 

Si la valeur de Command est une chaine, Command doit etre le dernier 
parametre de la commande, car tous les caracteres tapes apres la commande 
sont interpretes comme des arguments de commande. 
Pour ecrire une chaine qui execute une commande Windows PowerShell, 
utilisez le format : 
"& {<commande>} " 

dans lequel les guillemets indiquent une chaine et l'operateur d'appel (&) 
entraine l'execution de la commande. 

-Help, -?, /? 

Affiche ce message. Si vous tapez une commande powershell.exe dans Windows 
PowerShell, faites preceder les parametres de commande d'un trait d' union 
(-), et non d'une barre oblique (/). Vous pouvez utiliser un trait d 1 union 
ou une barre oblique dans Cmd.exe. 

EXEMPLES 

powershell -psconsolefile sqlsnapin . psd 

powershell -version 1.0 -nologo -inputformat text -outputf ormat XML 
powershell -command {get-eventlog -logname security} 
powershell -command "& {get-eventlog -logname security}" 



C:\> 
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Grace a cette possibility, nous pouvons executer des commandes PowerShell a partir de 
l'interpreteur de commandes de Windows. Lorsque PowerShell est appele avec le parametre 
-command, des scripts PowerShell ou d'autres applets de commande et commandes peuvent 
etre utilises comme arguments de -command. L'exemple suivant montre l'invocation de 
PowerShell depuis l'interpreteur de commandes de Windows, pour executer l'applet de 
commande Get -Service en ne conservant que les services qui se trouvent dans l'etat Running, 
puis pour trier les resultats en fonction du contenu de la colonne DisplayName du service. La 
chaine complete de la commande est placee entre des guillemets arm d'empecher l'interpre- 
teur de traiter le tube. 



r 

C : \>powershell . exe -command 


"1 

"get-service 1 where-object {$ .Status -eq 


1 Running 


'} 1 sort DisplayName" 


Status 


Name 


DisplayName 


Running 


stisvc 


Acquisition d 1 image Windows (WIA) 


Running 


helpsvc 


Aide et support 


Running 


APC UPS Service 


APC UPS Service 


Running 


RpcSs 


Appel de procedure distante (RPC) 


Running 


LmHosts 


Assistance TCP/IP NetBIOS 


Running 


AudioSrv 


Audio Windows 


Running 


avast! Antivirus 


avast! Antivirus 


Running 


aswUpdSv 


avast! iAVS4 Control Service 


Running 


avast ! Mail Sea. . . 


avast! Mail Scanner 


Running 


avast! Web Scanner 


avast! Web Scanner 


Running 


wscsvc 


Centre de securite 


Running 


TrkWks 


Client de suivi de lien distribue 


Running 


Dhcp 


Client DHCP 


Running 


Dnscache 


Client DNS 


Running 


FastUserSwitchi. . . 


Compatibility avec le Changement ra... 


Running 


WZCSVC 


Configuration automatique sans fil 


Running 


seclogon 


Connexion secondaire 


Running 


Netman 


Connexions reseau 


Running 


ShellHWDetection 


Detection materiel noyau 


Running 


ProtectedStorage 


Emplacement protege 


Running 


Browser 


Explorateur d'ordinateur 


Running 


SamSs 


Gestionnaire de comptes de securite 


Running 


RasMan 


Gestionnaire de connexions d'acces ... 


Running 


dmserver 


Gestionnaire de disque logique 


Running 


W32Time 


Horloge Windows 


Running 


winmgmt 


Infrastructure de gestion Windows 
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Running 


Eventlog 


Journal des evenements 


Running 


DcomLaunch 


Lanceur de processus serveur DCOM 


Running 


wuauserv 


Mises a jour automatiques 


Running 


Nla 


NLA (Network Location Awareness) 


Running 


SENS 


Notification d'evenement systeme 


Running 


NVSvc 


NVIDIA Display Driver Service 


Running 


SharedAccess 


Pare-feu Windows / Partage de conne... 


Running 


Schedule 


Planificateur de taches 


Running 


PlugPlay 


Plug-and-Play 


Running 


lanmanserver 


Serveur 


Running 


SSDPSRV 


Service de decouvertes SSDP 


Running 


ALG 


Service de la passerelle de la couc... 


Running 


BITS 


Service de transfert intelligent en... 


Running 


CryptSvc 


Services de cryptographie 


Running 


PolicyAgent 


Services IPSEC 


Running 


TermService 


Services Terminal Server 


Running 


Spooler 


Spouleur d' impression 


Running 


lanmanworkstation Station de travail 


Running 


EventSystem 


Systeme d' evenements de C0M+ 


Running 


TapiSrv 


Telephonie 


Running 


Themes 


Themes 


Running 


WebClient 


WebClient 


Running 


UMWdf 


Windows User Mode Driver Framework 

-4 



Comprendre les applets de commande 

Les applets de commande (ou cmdlets) sont un element essentiel de la puissance de Power- 
Shell. Elles sont implementees comme des classes gerees (developpees avec .NET Framework), 
qui offrent un ensemble de methodes parfaitement defini pour traiter les donnees. Le program- 
me ur ecrit le code qui s' execute lors de l'appel de 1' applet de commande et le compile dans 
une DLL chargee dans une instance de PowerShell au redemarrage du shell. 

Les applets de commande sont toujours nominees en respectant le format Verbe-Nom, ou le 
verbe definit l'operation et le nom precise l'objet concerne par l'operation. Comme vous 
l'avez certainement note, la plupart des noms de PowerShell sont au singulier afin de rendre 
PowerShell plus universel. En effet, une commande peut fournir une valeur ou un ensemble 
de valeurs et il est impossible de savoir a l'avance si le nom d'une applet de commande 
doit etre pluriel. Par ailleurs, 1' anglais n'est pas tres coherent dans son utilisation du pluriel. 
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Par exemple, le mot "fish" est au singulier ou au pluriel, selon le contexte. Puisque l'anglais 
n'est sans doute pas votre langue matemelle, il vous sera difficile de savoir ce qui doit etre 
au pluriel ou d'imaginer la forme plurielle correcte. 



Le verbe par defaut de PowerShell est Get. Si aucun autre verbe n'est donne, il est done sup- 
pose. Ce fonctionnement par defaut signifie que la commande Process produit le meme 
resultat que Get -Process. 



Pour connaitre les parametres acceptes par une applet de commande, nous pouvons consulter 
ses informations d'aide avec l'une des commandes suivantes : 



r 

PS 


C: 


\> 


nom_ 




cmdlet -? 


PS 

L 


C: 


\> 


get 


■help nom_cmdlet 



D'autre part, l'applet de commande Get - Command permet de determiner les parametres dispo- 
nibles et leur utilisation. Voici un exemple de sa syntaxe : 



PS C:\> get-command nom_cmdlet 



En redirigeant la sortie de Get -Command vers l'applet de commande Format -List, nous obte- 
nons une liste plus concise de l'utilisation d'une applet de commande. Par exemple, voici 
comment afficher uniquement la definition de Get - Process : 



PS C:\> get-command get-process | format-list Definition 



Definition : Get-Process [[-Name] <String[]>] [-Verbose] [ -Debug] [ -ErrorAction 
<ActionPreference>] [ -ErrorVariable <String>] [ -OutVariable <Stri 
ng>] [OutBuffer <Int32>] 

Get-Process -Id <Int32[]> [Verbose] [ -Debug] [ -ErrorAction <Actio 
nPref erence>] [ErrorVariable <String>] [ -OutVariable <String>] [- 
OutBuffer <Int32>] 

Get-Process -InputObject <Process[]> [-Verbose] [-Debug] [-ErrorAc 
tion <ActionPreference>] [-ErrorVariable <String>] [ -OutVariable < 
String>] [-OutBuffer <Int32>] 



PS C:\> 
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Parametres communs 

Puisque les applets de commande derivent d'une classe de base, quelques parametres communs 
a toutes les applets permettent d'offrir une interface plus coherente aux applets de commande 
de PowerShell. Ces parametres sont decrits au Tableau 2.2. 



Tableau 2.2 Parametres communs de PowerShell 



Para met re 


Type de donnees 


Description 


Verbose 


Boolean 


Genere une information detaillee concernant 
I'operation, de maniere analogue a un journal de 
trace ou de transaction. Ce parametre n'est valide 
qu'avec les applets de commande qui generent des 
donnees verbeuses. 


Debug 


Boolean 


Genere des details de I'operation destines 
au programmeur. Ce parametre n'est valide 
qu'avec les applets de commande qui generent 
des donnees de debogage. 


ErrorAction 


Enum 


Determine la reponse de I'applet de commande 
aux erreurs. Les valeurs acceptees sont Continue 
(par defaut), Stop, SilentlyContinue et Inquire. 


ErrorVariable 


String 


Designe une variable qui stocke les erreurs de la 
commande pendant son execution. Cette variable 
est modifiee tout comme $error. 


OutVariable 


String 


Designe une variable qui stocke la sortie 
de la commande pendant son execution. 


OutBuff er 


Int32 


Determine le nombre d'objets a placer 
dans le tampon avant d'invoquer I'applet 
de commande suivante du pipeline. 


Whatlf 


Boolean 


Affiche le deroulement de I'execution de la 
commande, mais sans reellement I'executer. 


Confirm 


Boolean 


Demande une autorisation a I'utilisateur avant 
d'effectuer toute action qui modifie le systeme. 
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Les deux derniers parametres du Tableau 2.2, Whatlf et Confirm, sont particuliers, car ils exi- 
gent que I'applet de commande prenne en charge la methode .NET ShouldProcess, ce qui 
n'est peut-etre pas le cas de toutes les applets de commande. La methode ShouldProcess 
demande une confirmation de I'operation a I'utilisateur, en lui indiquant le nom de la res- 
source concernee par la modification. 



Quelques applets de commande utiles 

Lorsqu'on debute avec PowerShell, les applets de commande Get -Help et Get -Command se 
revelent extremement utiles. Decrites dans les sections suivantes, elles vous aident a explorer 
le fonctionnement de PowerShell et a comprendre les commandes executees. 

Get-Help 

Comme vous devez le deviner, 1' applet Get - Help affiche une aide sur les applets de commande 
et d'autres themes. Pour afficher la liste de tous les sujets d'aide, saisissons Get -Help * a 
l'invite de commande de PowerShell : 



r 

PS C:\> get-help * 




1 


Name 


Category 


Synopsis 


ac 


Alias 


Add -Content 


asnp 


Alias 


Add-PSSnapin 


clc 


Alias 


Clear-Content 


cli 


Alias 


Clear-Item 


clp 


Alias 


Clear- ItemProperty 


civ 


Alias 


Clear-Variable 


cpi 


Alias 


Copy-Item 


cpp 


Alias 


Copy-ItemProperty 


cvpa 


Alias 


Convert-Path 


diff 


Alias 


Compare-Object 


epal 


Alias 


Export -Alias 


epcsv 


Alias 


Export -Csv 


fc 


Alias 


Format -Custom 


fl 


Alias 


Format -List 
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foreach 


Alias 


ForEach -Object 


Get -Command 


Cmdlet 


Obtient des informatio. . . 


Get-Help 


Cmdlet 


Affiche des informatio... 


Get-History 


Cmdlet 


Obtient la liste des c... 


Invoke -History 


Cmdlet 


Execute les commandes . . . 


Add -History 


Cmdlet 


Ajoute des entrees a 1... 


ForEach -Object 


Cmdlet 


Execute une operation . . . 


Where-Object 


Cmdlet 


Cree un filtre qui con... 


Set-PSDebug 


Cmdlet 


Active et desactive le... 


Add-PSSnapin 


Cmdlet 


Ajoute un ou plusieurs... 


Remove -PSSnapin 


Cmdlet 


Supprime les composant... 


Get-PSSnapin 


Cmdlet 


Obtient les composants . . . 


Export -Console 


Cmdlet 


Exporte la configurati. . . 


Start -Transcript 


Cmdlet 


Cree un enregistrement . . . 


Stop-Transcript 


Cmdlet 


Arrete une transcription. 


Add -Content 


Cmdlet 


Ajoute le contenu aux ... 


Clear-Content 


Cmdlet 


Supprime le contenu d'... 


Clear-ItemProperty 


Cmdlet 


Supprime la valeur d'u... 


Join -Path 


Cmdlet 


Combine un chemin d'ac... 


Convert -Path 


Cmdlet 


Convertit un chemin d'... 


Copy-ItemProperty 


Cmdlet 


Copie une propriete et... 


Get-EventLog 


Cmdlet 


Obtient des informatio... 


Get-Childltem 


Cmdlet 


Obtient les elements e... 


Get -Content 


Cmdlet 


Obtient le contenu de . . . 


Get-ItemProperty 


Cmdlet 


Recupere les propriete... 


Get-WmiObject 


Cmdlet 


Obtient des instances . . . 


Move-ItemProperty 


Cmdlet 


Deplace une propriete . . . 


Get -Location 


Cmdlet 


Obtient des informatio... 


Set -Location 


Cmdlet 


Definit 1 1 emplacement ... 


Push -Location 


Cmdlet 


Execute une operation . . . 


Pop -Location 


Cmdlet 


Definit 1 1 emplacement ... 


New-PSDrive 


Cmdlet 


Installe un nouveau le... 


Remove -PSDrive 


Cmdlet 


Supprime un lecteur Wi... 


Get-PSDrive 


Cmdlet 


Obtient des informatio... 


Alias 


Provider 


Donne acces aux alias . . . 


Environment 


Provider 


Donne acces aux variab... 


FileSystem 


Provider 


Fournisseur de PowerSh... 


Function 


Provider 


Donne acces aux foncti... 


Registry 


Provider 


Donne acces aux cles e... 


Variable 


Provider 


Donne acces aux variab... 


Certificate 


Provider 


Donne acces aux magasi... 
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about_alias 

about_arithmetic_operators 
about_array 

about_assignment_operators 

about_associative_array 

about_automatic_variables 

about_break 

about_command_search 

about_command_syntax 

about_commonparameters 

about_comparison_operators 

about_continue 

about_core_commands 

about_display . xml 

about environment variable 



PS C:\> 



HelpFile 


Utilisation d'autres n 


HelpFile 


Operateurs pouvant etr 


HelpFile 


Structure de donnees c 


HelpFile 


Operateurs pouvant etr 


HelpFile 


Structure de donnees c 


HelpFile 


Variables definies aut. 


HelpFile 


Instruction permettant 


HelpFile 


Explique comment Windo 


HelpFile 


Format de commande dan 


HelpFile 


Parametres que chaque 


HelpFile 


Operateurs qui peuvent 


HelpFile 


Revient immediatement 


HelpFile 


Applets de commande pr 


HelpFile 


Controle de l'affichag. 


HelpFile 


Comment acceder aux va 



Si cette liste semble trop longue pour etre utile, nous pouvons la raccourcir en appliquant un 
filtre sur le nom du theme et la categoric Par exemple, voici comment obtenir une liste de 
toutes les applets de commande dont le verbe commence par Get : 



PS C:\> get-help -Name get-* -Category cmdlet 
Name Category 



Get 


-Command 


Cmdlet 


Get 


■Help 


Cmdlet 


Get 


-History 


Cmdlet 


Get 


-PSSnapin 


Cmdlet 


Get 


-EventLog 


Cmdlet 


Get 


-Childltem 


Cmdlet 


Get 


-Content 


Cmdlet 



Synopsis 



Obtient des informatio 
Affiche des informatio. 
Obtient la liste des c 
Obtient les composants 
Obtient des informatio 
Obtient les elements e 
Obtient le contenu de 



PS C:\> 
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Apres avoir choisi un theme, nous pouvons obtenir l'aide en indiquant le nom du theme en 
parametre a l'applet de commande Get - Help. Par exemple, la commande suivante fournit de 
l'aide sur Get -Content : 



PS C:\> get-help get-content 




Dans Windows PowerShell RC2, deux parametres supplementaires ont ete ajoutes a get -help : 
-detailed et -full. Le parametre -detailed affiche des informations complementaires sur 
une applet de commande, y compris la description des parametres et des exemples d'utilisa- 
tion. Le parametre -full affiche I'integralite de l'aide d'une applet de commande, y compris 
des informations techniques concernant ses parametres. 



Contenu de l'aide sur une applet de commande 

L'aide fournie par PowerShell est divisee en rubriques. Le Tableau 2.3 recapitule les details 
des informations d'aide sur chaque applet de commande. 



Tableau 2.3 Rubriques de l'aide de PowerShell 



Rubrique 


Description 


Nom 


Le nom de l'applet de commande 


Resume 


Courte description du role de l'applet de commande 


Description detaillee 


Description detaillee du comportement de l'applet de commande, 




generalement avec des exemples d'utilisation 


Syntaxe 


Details d'invocation de l'applet de commande 


Parametres 


Parametres reconnus par l'applet de commande 


Type d'entree 


Type de I'entree acceptee par l'applet de commande 


Type de retour 


Type des donnees retournees par l'applet de commande 


Erreurs fatales 


Si cette rubrique est presente, elle identifie les erreurs qui conduisent 




a I'arret premature de l'applet de commande 
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Tableau 2.3 Rubriques de I'aide de PowerShell (suite) 


Rubrique 


Description 


Erreurs non fatales 


Identifie les erreurs non critiques qui peuvent se produire pendant 




I'execution de I'applet de commande sans pour cela la terminer 


Remarques 


Informations detaillees complementaires sur I'utilisation de I'applet 




de commande, y compris des scenarios particuliers et des limitations 




possibles ou des curiosites 


Exemples 


Exemple d'utilisation classique de I'applet de commande 


Liens connexes 


References a d'autres cmdlets qui realisent des taches similaires 



Get-Command 



Get - Command est egalement tres utile, car elle affiche la liste de toutes les applets de commande 
disponibles dans une session PowerShell : 



r 

PS C:\> get 


■command 




CommandType 


Name 


Definition 


Cmdlet 


Add-Content 


Add-Content [-Path] <String[... 


Cmdlet 


Add -History 


Add-History [ [ -InputObject] ... 


Cmdlet 


Add -Member- 


Add-Member [ -MemberType] <PS... 


Cmdlet 


Add -PSSnapin 


Add-PSSnapin [-Name] <String... 


Cmdlet 


Clear-Content 


Clear-Content [-Path] <Strin... 


Cmdlet 


Clear - Item 


Clear-Item [-Path] <String[]... 


Cmdlet 


Clear - ItemProperty 


Clear-ItemProperty [-Path] <... 


Cmdlet 


Clear -Variable 


Clear-Variable [-Name] <Stri... 


Cmdlet 


Compare -Object 


Compare-Object [ -Ref erenceOb . . . 


PS C:\> 







Get -Command est plus puissante que Get -Help car elle presente toutes les commandes dispo- 
nibles (applets de commande, scripts, alias, fonctions et applications natives) dans une 
session PowerShell. 
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Par exemple : 



r 

PS C:\> get- 


■command note* 


^ 


CommandType 


Name 


Definition 


Application 


NOTEPAD . EXE 


C: \WINDOWS\NOTEPAD.EXE 


Application 


notepad.exe 


C : \WIND0WS\system32\ notepad . exe 


PS C:\> 







Lorsque Get -Command est invoquee avec des elements autres que des applets de commande, 
les informations retournees sont legerement differentes de celles retenues pour une applet de 
commande. Par exemple, pour une application existante, la valeur de la propriete Definition 
est le chemin de 1' application. Cependant, d' autres informations concernant 1' application 
sont egalement disponibles : 



r 

PS C:\> get-command ipconfig | format 


-list * 


FileVersionlnf o 


: File: 


C: \WIND0WS\system32\ ipconfig .exe 




InternalName : 


ipconfig . exe 




OriginalFilename : 


ipconfig . exe 




FileVersion : 


5.1 .2600.2180 (xpsp_sp2_rtm. 040803-2158) 




FileDescription : 


Utilitaire de configuration IP 




Product: 


Systeme d ' exploitation Microsoft® 


Windows® 








ProductVersion : 


5.1 .2600.2180 




Debug: 


False 




Patched : 


False 




PreRelease: 


False 




PrivateBuild : 


False 




SpecialBuild : 


False 




Language: 


Frangais (France) 


Path 


: C: \WIND0WS\system32\ipconfig . exe 


Extension 


: .exe 




Definition 


: C: \WIND0WS\system32\ipconfig . exe 


Name 


: ipconfig.exe 




CommandType 


: Application 
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Avec une fonction, la propriete Definition donne le corps de la fonction : 



r 

PS C:\> get 


-command Prompt 




CommandType 


Name 


Definition 


Function 


prompt 


Write-Host ("PS " + $(Get-Lo... 


PS C:\> 




^ 



Avec un alias, nous ob tenons la commande cible de 1' alias : 



r 

PS C:\> get 


-command write 




CommandType 


Name 


Definition 


Alias 


write 


Write-Output 


PS C:\> 




a 



Avec un script, la propriete Definition contient le chemin du script. Si le script n'est pas de 
type PowerShell (comme un fichier .bat ou .vbs), l'information retournee est identique a 
celle des applications natives. 

Expressions 

PowerShell permet egalement d'evaluer des expressions. Dans l'exemple suivant, il retourne 
le resultat d'une expression mathematique simple : 



PS C:\> (100 / 2) * 3 
150 

PS C:\> 
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II est important de noter que, dans cet exemple, PowerShell calcule et affiche immediatement 
le resultat de I'expression. Ce fonctionnement est different des autres shells et langages de 
scripts, ou le resultat de I'expression doit etre affecte a une variable ou passe a une com- 
mande d'affichage avant de pouvoir etre presente a I'ecran. 



Meme si PowerShell affiche immediatement les resultats des expressions, rien ne nous empe- 
che de les stacker dans des variables ou dans des fichiers texte pour une utilisation ulterieure. 
L' exemple suivant enregistre la sortie de I'expression dans la variable $Calc : 



r 

PS C: 


\> 


$Calc = (100 / 2) * 3 


PS C: 


\> 


$Calc 


150 






PS C: 

>- 


\> 





Cette technique peut egalement etre etendue aux applets de commande. Dans l'exemple sui- 
vant, la sortie de Get -Process est affectee a la variable $Procinfo avec le parametre -Name : 



r 

PS C:\> 
PS C:\> 


$Procinf o 
$Procinf o 


= get- 


process -Name explorer 






^ 


Handles 


NPM(K) 


PM(K) 


WS(K) VM(M) 


CPUi 


;s) 


Id 


ProcessName 


494 


12 


14248 


24804 83 


107 : 


,45 


2964 


explorer 


PS C:\> 


$Procinf o 














Handles 


NPM(K) 


PM(K) 


WS(K) VM(M) 


CPU i 


;s) 


Id 


ProcessName 


494 


12 


14248 


24804 83 


107. 


,51 


2964 


explorer 


PS C:\> 

















La variable $Procinfo contient le resultat de la commande get -process -Name explorer. 
Nous demandons ensuite a PowerShell de retrouver la valeur de $Procinf o. II affiche le 
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resultat pour le processus explorer. Lorsque $Procinfo est affichee une seconde fois, la 
valeur de CPU(s) est differente. Cet exemple montre que le contenu de la variable $Procinf o 
est dynamique. Autrement dit, nous obtenons des informations en temps reel sur le processus 
explorer. 

Comprendre les variables 

Une variable est un emplacement permettant de stacker des donnees. Dans la majorite des 
shells, les variables ne peuvent contenir que des donnees de type texte. Dans les shells elabo- 
res et les langages de programmation, les donnees placees dans des variables peuvent etre 
quasiment de n'importe quel type, de la chaine de caracteres a des ensembles d'objets. De la 
meme maniere, les variables de PowerShell acceptent de stacker des donnees quelconques. 

Pour definir une variable PowerShell, nous devons la nommer avec le prefixe $, lequel permet 
de differencier les variables des alias, des applets de commande, des noms de fichiers et des 
autres elements du shell. Ce nom est sensible a la casse et peut contenir toute combinaison 
de caracteres alphanumeriques (A-Z et 0-9) et le caractere de soulignement (_). Meme s'il 
n'existe aucune convention de nommage des variables, il est conseille de leur donner un nom 
qui reflete le type des donnees contenues : 



PS C:\> $MSProcesses = get-process | where {$_. company -match 
" .*Microsoft*"} 

PS C:\> $MSProcesses 



Handles 


NPM(K) 


PM(K) 


WS(K) 


VM(M) 


CPU i 


:s) 


Id 


ProcessName 


68 


4 


1712 


6496 


30 


0. 


.19 


2420 


ctf mon 


715 


21 


27024 


40180 


126 


58. 


.03 


3620 


explorer 


647 


19 


23160 


36924 


109 


18. 


.69 


1508 


iexplore 


522 


11 


31364 


30876 


151 


6. 


.59 


3268 


powershell 


354 


17 


28172 


47612 


482 


36. 


.22 


2464 


WINWORD 



PS C:\> 



Dans cet exemple, la variable $MSProcesses contient une liste des processus Microsoft 
actuellement en cours d' execution sur le systeme. 
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Un nom de variable peut inclure n'importe quel caractere, y compris les espaces, a condition 
qu'il soit place entre des accolades (les symboles { et }). Cependant, si vous def inissez un nom 
de variable non standard, PowerShell vous signale que cette pratique est deconseillee. 



Variables internes 

Lorsqu'une session PowerShell demarre, un certain nombre de variables sont automatique- 
ment definies : 



PS C:\> set -location variable 
PS Variable: \> get-childitem 

Name Value 
Error 

DebugPref erence 

PROFILE 

HOME 

Host 

MaximumHistoryCount 

MaximumAliasCount 

input 

StackTrace 

ReportErrorShowSource 

ExecutionContext 

true 

VerbosePref erence 

Shellld 

false 

null 

MaximumFunctionCount 

ConsoleFileName 

ReportErrorShowStackTrace 

FormatEnumerationLimit 

1 

PSHOME 

Mylnvocation 
PWD 



{CommandNotFoundException} 
SilentlyContinue 

\\bob'shosting.com\homes\tyson\My Documents\P. . . 
U:\ 

System . Management .Automation . Internal . Host . In . . . 
64 

4096 

System. Array+SZArrayEnumerator 

a System. Management. Automation. CommandDis. . . 

1 

System. Management .Automation . Enginelntrinsics 
True 

SilentlyContinue 
Microsoft . PowerShell 
False 

4096 

0 
4 

True 

C:\Program Files\Windows PowerShell\v1 .0 
System. Management .Automation . Invocationlnfo 
Variable: \ 
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« 


set -location 


Report ErrorShowExceptionClass 


0 


ProgressPref erence 


Continue 


ErrorActionPref erence 


Continue 


args 


{} 


MaximumErrorCount 


256 


NestedPromptLevel 


0 


Whatlf Preference 


0 


$ 


variable: 


Report ErrorShowInnerExcept ion 


0 


ErrorView 


NormalView 


WarningPref erence 


Continue 


PID 


3124 


ConfirmPref erence 


High 


MaximumDriveCount 


4096 


MaximumVariableCount 


4096 


PS C:\> 


-i 



Ces variables internes se repartissent en deux categories. La premiere a une signification 
particuliere dans PowerShell car elle enregistre des informations de configuration pour la 
session en cours. Parmi ces variables speciales, les suivantes sont a retenir car elles sont 
souvent employees dans ce livre : 

■ $_ contient l'objet en cours dans le pipeline. 

■ $Error contient les objets d'erreur de la session PowerShell en cours. 



r 

PS C:\> 


get -service 


| where-object {$_.Name -match "W32Time"} 


Status 


Name 


DisplayName 


Running 


W32Time 


Horloge Windows 


PS C:\> 







PS C:\> $Error 

Vous devez fournir une expression de valeur a droite de l'operateur « * ». 
PS C:\> 
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La seconde categorie de variables internes comprend les parametres de preference qui controlent 
le comportement de PowerShell. Le Tableau 2.4 les decrit. 




Une strategie de commande peut etre I'une des chaines suivantes : SilentlyContinue, 
Notif yContinue, Notif yStop ou Inquire. 



Tableau 2.4 Parametres de preference de PowerShell 



Nom 


Valeur acceptee 


Description 


$DebugPref erence 


Strategie de 
commande 


Action a effectuer lorsque des donnees sont ecrites a 
I'aide de Write -Debug dans un script ou de WriteDebug ( ) 
dans une applet de commande ou un fournisseur 


$ErrorActionPref erence 


Strategie de 
commande 


Action a effectuer lorsque des donnees sont ecrites a 
I'aide de Write-Error dans un script ou de WriteError 
( ) dans une applet de commande ou un fournisseur 


$MaximumAliasCount 


Entier 


Nombre maximal d'alias 


$MaximumDriveCount 


Entier 


Nombre maximal de lecteurs autorises 


$MaximumErrorCount 


Entier 


Nombre maximal d'erreurs placees dans $Error- 


$MaximumFunctionCount 


Entier 


Nombre maximal de fonctions pouvant etre definies 


$MaximumVariableCount 


Entier 


n ■ | ■ II |_ 1 jij" 1 ■ 

Nombre maximal de variables pouvant etre definies 


$MaximumHistoryCount 


Entier 


Nombre maximal d'entrees enregistrees dans I'historique 
des commandes 


$ShouldProcessPref erence 


Strategie de 
commande 


Action a effectuer lorsque ShouldProcess est utilise 
dans une applet de commande 


$ProcessReturnPref erence 


Booleen 


Valeur retournee par ShouldProcess 


$ProgressPref erence 


Strategie de 
commande 


Action a effectuer lorsque des donnees sont ecrites 
a I'aide de Write-Progress dans un script ou de 
WriteProgress ( ) dans une applet de commande 
ou un fournisseur 


$VerbosePref erence 


Strategie de 
commande 


Action a effectuer lorsque des donnees sont ecrites 
a I'aide de Write -Verbose dans un script ou de 
WriteVerbose( ) dans une applet de commande ou un 
fournisseur 
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Comprendre les alias 

Vous le remarquerez tres rapidement, 1' utilisation de PowerShell demande une saisie impor- 
tante, a moins que vous n'executiez un script. Par exemple, ouvrons une console PowerShell 
et tapons la commande suivante : 



PS C:\> get-process | where-object {$_. Company -match " . *Microsof t* " } I 
format-table Name, ID, Path -Autosize 



Elle est plutot longue a saisir. Heureusement, comme la plupart des shells, PowerShell prend 
en charge les alias d' applets de commande et d'executables. Ainsi, pour eviter de saisir une 
commande aussi longue, nous pouvons utiliser les alias par defaut de PowerShell. Dans ce 
cas, l'exemple Get - Process devient : 



PS C:\> gps | ? {$_. Company -match " . *Microsof t* " } I ft Name, ID, Path -Autosize 



L'economie n'est pas enorme, mais les alias peuvent faire gagner du temps et eviter les fautes 
de frappe. Pour obtenir la liste des alias definis dans la session PowerShell en cours, invo- 
quons Get -Alias : 



PS C:\> get-alias 



CommandType 


Name 


Alias 


ac 


Alias 


asnp 


Alias 


clc 


Alias 


cli 


Alias 


clp 


Alias 


civ 


Alias 


cpi 


Alias 


cpp 


Alias 


cvpa 


Alias 


diff 


Alias 


epal 


Alias 


epcsv 


Alias 


fc 


Alias 


fl 


Alias 


f oreach 



Definition 



Add -Content 

Add -PSSnapin 

Clear-Content 

Clear-Item 

Clear- ItemProperty 

Clear-Variable 

Copy-Item 

Copy-ItemProperty 

Convert -Path 

Compare -Object 

Export -Alias 

Export -Csv 

Format -Custom 

Format -List 

ForEach-Object 
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Alias 


% 


ForEach-Object 


Alias 


ft 


Format -Table 


Alias 


fw 


Format -Wide 


Alias 


gal 


Get -Alias 


Alias 


gc 


Get -Content 


Alias 


gci 


Get -Childltem 


Alias 


gem 


Get -Command 


Alias 


gdr 


Get-PSDrive 


Alias 


ghy 


Get-History 


Alias 


gi 


Get -Item 


Alias 


gi 


Get-Location 


Alias 


gm 


Get -Member 


Alias 


gp 


Get-ItemProperty 


Alias 


gps 


Get-Process 


Alias 


group 


Group-Object 


Alias 


gsv 


Get -Service 


Alias 


gsnp 


Get-PSSnapin 


Alias 


gu 


Get -Unique 


Alias 


gv 


Get -Variable 


Alias 


gwmi 


Get-WmiObject 


Alias 


iex 


Invoke -Expression 


Alias 


ihy 


Invoke -History 


Alias 


ii 


Invoke - Item 


Alias 


ipal 


Import -Alias 


Alias 


ipesv 


Import -Csv 


Alias 


mi 


Move-Item 


Alias 


mp 


Move- ItemProperty 


Alias 


nal 


New-Alias 


Alias 


ndr 


New-PSDrive 


Alias 


ni 


New- Item 


Alias 


nv 


New-Variable 


Alias 


oh 


Out-Host 


Alias 


rdr 


Remove -PSDrive 


Alias 


ri 


Remove - Item 


Alias 


mi 


Rename - Item 


Alias 


rnp 


Rename - ItemProperty 


Alias 


rp 


Remove - ItemProperty 


Alias 


rsnp 


Remove -PSSnapin 


Alias 


rv 


Remove -Variable 


Alias 


rvpa 


Resolve -Path 


Alias 


sal 


Set -Alias 


Alias 


sasv 


Start -Service 


Alias 


sc 


Set-Content 


Alias 


select 


Select-Object 


Alias 


si 


Set -Item 



Chapitre 2 



Les fondamentaux de PowerShell 55 



Alias 


si 


Set -Location 


Alias 


sleep 


Start -Sleep 


Alias 


sort 


Sort-Object 


Alias 


sp 


Set-ItemProperty 


Alias 


spps 


Stop-Process 


Alias 


spsv 


Stop -Service 


Alias 


sv 


Set -Variable 


Alias 


tee 


Tee-Object 


Alias 


where 


Where-Object 


Alias 


7 


Where-Object 


Alias 


write 


Write-Output 


Alias 


cat 


Get -Content 


Alias 


cd 


Set -Location 


Alias 


clear 


Clear-Host 


Alias 


cp 


Copy-Item 


Alias 


h 


Get -History 


Alias 


history 


Get -History 


Alias 


kill 


Stop-Process 


Alias 


IP 


Out -Printer 


Alias 


Is 


Get -Childltem 


Alias 


mount 


New-PSDrive 


Alias 


mv 


Move - Item 


Alias 


popd 


Pop-Location 


Alias 


ps 


Get -Process 


Alias 


pushd 


Push-Location 


Alias 


pwd 


Get -Location 


Alias 


r 


Invoke -History 


Alias 


rm 


Remove - Item 


Alias 


rmdir 


Remove - Item 


Alias 


echo 


Write-Output 


Alias 


els 


Clear-Host 


Alias 


chdir 


Set -Location 


Alias 


copy 


Copy-Item 


Alias 


del 


Remove - Item 


Alias 


dir 


Get -Childltem 


Alias 


erase 


Remove - Item 


Alias 


move 


Move - Item 


Alias 


rd 


Remove - Item 


Alias 


ren 


Rename - Item 


Alias 


set 


Set -Variable 


Alias 


type 


Get -Content 


PS C:\> 
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Decouvrir les applets de commande relatives aux alias 

Plusieurs applets de commande permettent de definir de nouveaux alias, d' exporter, d' impor- 
ter et d'afficher les alias existants. Grace a la commande suivante, nous pouvons obtenir 
toutes les cmdlets relatives aux alias : 



PS C:\> get-command *-Alias 

CommandType Name 

Cmdlet Export -Alias 

Cmdlet Get -Alias 

Cmdlet Import -Alias 

Cmdlet New-Alias 

Cmdlet Set -Alias 



Definition 

Export-Alias [-Path] <String... 
Get -Alias [[-Name] <String[]... 
Import-Alias [-Path] <String... 
New-Alias [-Name] <String> [... 
Set-Alias [-Name] <String> [... 



Nous avons deja vu comment utiliser Get -Alias pour obtenir la liste des alias definis dans la 
session PowerShell en cours. Les applets de commande Export -Alias et Import -Alias 
permettent d'exporter et d'importer des listes d'alias entre des sessions PowerShell. Quant a 
New-Alias et a Set -Alias, elles permettent de definir de nouveaux alias dans la session 
PowerShell en cours. 



L'implementation des alias dans PowerShell est limitee. Comme nous I'avons mentionne pre- 
cedemment, un alias ne fonctionne que pour les applets de commande et les executables, 
sans parametres. Cependant, certaines methodes permettent de contourner cette contrainte. 
L'une d'elles consiste a definir la commande dans une variable, puis a appeler la variable 
depuis d'autres commandes. Mais la variable ne peut etre appelee que dans la session 
PowerShell en cours, sauf si elle est definie dans le fichier profile. psl. Une autre methode, 
conseillee, consiste a placer la commande dans une fonction. 



Creer des alias persistants 

Les alias crees avec New -Alias et Set - Alias ne sont valides que dans la session PowerShell en 
cours. Lorsque vous fermez cette session, les alias existants sont effaces. Pour que des alias 
persistent entre des sessions PowerShell, nous devons les definir dans le fichier profile . ps1 : 
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set-alias new new-object 
set-alias time get-date 



Bien que l'economie de saisie soit attirante, nous vous deconseillons d'abuser des alias. En 
effet, ils ne sont pas tres portables. Par exemple, si nous employons de nombreux alias dans 
un script, nous devons inclure une suite de commandes Set -Alias au debut du script pour 
etre certain de 1' existence de ces alias, quel que soit le profil de machine ou de session, au 
moment de 1' execution du script. 

Cependant, leur principal probleme n'est pas la portability mais la confusion ou le masquage 
de la reelle signification des commandes ou des scripts. Si les alias que nous definissons ont 
un sens pour nous, tout le monde ne partage pas notre logique. Par consequent, si nous 
voulons que les autres utilisateurs comprennent nos scripts, nous devons eviter de trop en 
employer. A la place, il est preferable de creer des fonctions reutilisables. 



Lorsque vous creez des alias pour des scripts, utilisez des noms comprehensibles par les autres 
personnes. Par exemple, il n'y a aucune raison, autre que celle de vouloir chiffrer vos scripts, 
de creer des alias constitues uniquement de deux lettres. 



Sequences d'echappement 

Le caractere accent grave ou apostrophe inverse (') joue le role de caractere d'echappement 
dans PowerShell. Selon son contexte d'utilisation, PowerShell interprete les caracteres qui le 
suivent immediatement de differentes manieres. 

Si P apostrophe inverse est utilisee a la fin d'une ligne dans un script, elle sert de caractere de 
continuation. Autrement dit, le role de ' est equivalent a celui de & en VBScript. Elle permet 
de decouper les longues lignes de code en morceaux plus petits : 

$Reg = get-wmiobject -Namespace Root\Default -computerName 
$Computer -List I where -object 
{$_.Name -eq "StdRegProv" } 
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Si 1' apostrophe inverse precede une variable PowerShell, les caracteres venant immediate - 
ment apres ne sont pas soumis a la substitution et ne sont pas interpreted : 



PS C:\> $Chaine = "Cela fonctionne-t-il ?" 

PS C:\> write-host "La question est : $Chaine" 

La question est : Cela fonctionne-t-il ? 

PS C:\> write-host "La question est : "SChaine" 

La question est : $Chaine 

PS C:\> 



Si 1' apostrophe inverse est employee dans une chaine ou interpreted comme une partie d'une 
chaine, cela signifie que le caractere suivant doit etre considere comme un caractere special. 
Par exemple, pour placer un caractere de tabulation dans une chaine, nous utilisons la 
sequence d'echappement t : 



r 

PS C:\> $Chaine = "Voyez la 


tabulation : 




rt [TAB]" 


PS C:\> write-host SChaine 






Voyez la tabulation : 


[TAB] 




PS C:\> 







Le Tableau 2.5 recapitule les sequences d'echappement reconnues par PowerShell. 
Tableau 2.5 Sequences d'echappement de PowerShell 



Caractere Signification 





Apostrophe 




Guillemets 


'0 


Caractere nul 


' a 


Alarme (emission d'un bip) 


"b 


Espace arriere 


"f 


Saut de page (pour les impressions) 


' n 


Saut de ligne 


1 r 


Retour chariot 


't 


Tabulation horizontale (8 espaces) 


' V 


Tabulation verticale (pour les impressions) 
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Comprendre les portees 

Une portee est une frontiere logique dans PowerShell qui isole 1' utilisation des fonctions et 
des variables. Les portees peuvent etre globales, locales, de scripts et privees. Elles fonction- 
nent comme une hierarchie, dans laquelle les informations sont heritees vers le bas. Par 
exemple, la portee locale a acces a la portee globale, mais pas l'inverse. Les portees et leurs 
utilisations sont decrites au fil des sections suivantes. 

Portee globale 

Comme l'implique son nom, une portee globale s' applique a l'integralite d'une instance 
PowerShell. Les donnees de la portee globale sont heritees par toutes les portees enfants. Par 
consequent, n'importe quel script, commande ou fonction a acces aux variables definies dans 
la portee globale. Cependant, les portees globales ne sont pas partagees entre les differentes 
instances de PowerShell. 

Lexemple suivant montre la definition de la variable globale $Processus dans la fonction 
AfficherProcessus. Puisque la variable $Processus est definie globalement, nous pouvons 
consulter la valeur de $Processus .Count apres la terminaison de AfficherProcessus. Nous 
obtenons le nombre de processus actifs au moment de l'execution d'AfficherProcessus. 



PS C:\> function AfficherProcessus {$Global: Processus = get-process} 
PS C:\> AfficherProcessus 
PS C:\> SProcessus .Count 
37 



Dans PowerShell, vous pouvez utiliser un indicateur de portee explicite pour fixer la portee 
d'une variable. Par exemple, si vous souhaitez qu'une variable reside dans la portee globale, 
definissez-la avec $Global: nomDeLaVariable. Lorsque I'indicateur explicite n'est pas utilise, 
la variable reside dans la portee courante. 



Portee locale 

Une portee locale est creee dynamiquement chaque fois qu'une fonction, un filtre ou un 
script s'execute. Une fois la portee locale terminee, les informations qu'elle contenait sont 
effacees. Une portee locale peut lire les informations d'une portee globale, mais elle ne peut 
pas les modifier. 
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L'exemple suivant montre la variable locale $Processus definie dans la fonction 
Af ficherProcessus. Apres la fin d'Af ficherProcessus, la variable $Processus ne contient plus 
aucune donnee car elle a ete definie uniquement dans la fonction Af ficherProcessus. Comme 
vous pouvez le constater, l'affichage de la valeur de $Processus . Count, apres l'execution de 
la fonction Af ficherProcessus, ne produit aucun resultat. 



PS C:\> function AfficherProcessus {$Processus = get -process} 
PS C:\> AfficherProcessus 
PS C:\> $Processus .Count 
PS C:\> 



Portee de script 

Une portee de script est creee des qu'un fichier de script s'execute et elle est detruite une 
fois le script termine. Pour illustrer ce fonctionnement, creons le script suivant et enregis- 
trons-le sous le nom AfficherProcessus . ps1 : 

$Processus = get-process 

write-host "Voici le premier processus :" -Foregroundcolor Yellow 
$Processus[0] 



Executons-le ensuite dans une session PowerShell. La sortie doit etre comparable a la 
suivante : 



PS C:\> . \AfficherProcessus . ps1 
Voici le premier processus : 

Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id ProcessName 

105 5 1992 4128 32 0,05 916 alg 



PS C:\> $Processus[0] 

Impossible d'indexer dans un tableau Null. 
Au niveau de ligne : 1 Caractere : 12 
+ $Processus[0 «« ] 
PS C:\> 
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Lorsque le script AfficherProcessus.psl s'execute, les informations concernant le premier 
objet de processus dans la variable $Processus sont affichees sur la console. En revanche, 
lorsque nous essayons d'acceder aux informations contenues dans la variable $Processus 
depuis la console, une erreur est affichee car cette variable n'est valide que dans la portee du 
script. Lorsque le script se termine, cette portee et tout son contenu disparaissent. 

Que se passe-t-il si nous essayons d'utiliser un script dans un pipeline ou d'y acceder comme 
a une bibliotheque de fonctions communes ? Normalement, ce fonctionnement n'est pas 
possible car PowerShell detruit une portee de script des la fin de son execution. Cela dit, 
PowerShell offre la commande "point", issue du monde UNIX. La commande point demande 
a PowerShell de charger une portee de script dans la portee de 1' appelant. 

Pour utiliser cette fonctionnalite, il suffit de prefixer le nom de script par un point ( . ) lors de 
son invocation : 



PS C:\> . . \monscript.ps1 



Portee privee 

Une portee privee est analogue a une portee locale, a une difference pres : ses definitions ne 
sont pas heritees par les portees enfants. 

Lexemple suivant montre la definition de la variable privee $Processus dans la fonction 
AfficherProcessus. Pendant l'execution de cette fonction, la variable $Processus n'est pas 
disponible a la portee enfant representee par le bloc de script place entre les caracteres { et } 
(lignes 6 a 9). 



PS C:\> function AfficherProcessus {$Private : Processus = get-process 

» write-host "Voici le premier processus :" -Foregroundcolor Yellow 

» $Processus[0] 

» write-host 

» 

» &{ 

» write-host "Le voici a nouveau :" -Foregroundcolor Yellow 

» $Processus[0] 

» } 

» } 
» 

PS C:\> AfficherProcessus 
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Voici le premier processus : 

Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id ProcessName 

105 5 1992 4128 32 0,05 916 alg 

Le voici a nouveau : 

Impossible d'indexer dans un tableau Null. 
Au niveau de ligne : 7 Caractere : 20 
+ $Processus[0 «« ] 

PS C:\> 



Cet exemple fonctionne car il utilise l'operateur d'invocation &. II est ainsi possible d'execu- 
ter des fragments de code dans une portee locale isolee. Cette technique permet d'isoler un 
bloc de script et ses variables de la portee parente ou, comme dans cet exemple, d'empecher 
un bloc de script d'acceder a une variable privee. 

Premier script 

La plupart des commandes decrites dans ce chapitre sont interactives. Autrement dit, nous 
saisissons des commandes a l'invite de PowerShell et la sortie est affichee. Meme si l'utili- 
sation interactive de PowerShell est pratique pour des taches qui ne doivent etre effectuees 
qu'une seule fois, cette methode n'est pas efficace pour reproduire des taches d' automation. 
Heureusement, PowerShell est capable de lire des fichiers contenant des commandes. Nous 
pouvons ainsi ecrire, enregistrer, puis rappeler une suite de commandes selon les besoins. 
L' ensemble de ces commandes enregistrees est generalement appele script. 

Les scripts PowerShell sont de simples fichiers texte enregistres avec l'extension . psl . Nous 
pouvons utiliser n'importe quel editeur de texte, comme Bloc -notes, pour creer un fichier qui 
contient les commandes de notre script PowerShell. Par exemple, ouvrons Bloc -notes et 
saisissons les commandes suivantes : 

get-service I where-object {$_. Status -eq "Stopped"} 

Enregistrons ce fichier sous le nom AfficherServicesArretes . psl dans un repertoire (C:\ 
Scripts dans notre exemple). 
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Avant de pouvoir executer ce script, nous devons ajuster la strategie d' execution de 
PowerShell car la configuration par defaut interdit l'execution des scripts, pour des raisons 
de protection contre le code malveillant. Pour cela, invoquons Set - ExecutionPolicy comme 
le montre l'exemple suivant. Nous pouvons egalement utiliser Get -ExecutionPolicy pour 
connaitre la strategie d' execution en cours. (Le Chapitre 3 detaillera la securite PowerShell 
et les pratiques conseillees.) 



PS C:\> set-executionpolicy RemoteSigned 
PS C:\> get-executionpolicy 
RemoteSigned 
PS C:\> 



La strategie RemoteSigned permet d'executer les scripts crees localement sans qu'ils soient 
signes numeriquement (un concept qui sera explique au Chapitre 4, "Signer du code"). En 
revanche, les scripts telecharges sur Internet doivent etre signes. Cette configuration nous 
donne toute liberte d'executer des scripts non signes provenant de la machine locale, tout en 
offrant une certaine protection contre les scripts externes non signes. 

Apres avoir fixe la strategie d'execution de PowerShell a RemoteSigned, nous pouvons 
executer le script dans une session PowerShell en entrant simplement son chemin de reper- 
toire completet son nomde fichier. Avec la commande C : \Scripts\AfficherServicesArretes. 
ps1, nous ob tenons la sortie suivante : 



r 

PS C:\> 


1 

C: \Scripts\AfficherServicesArretes. ps1 


Status 


Name 


DisplayName 


Stopped 


Alerter 


Avertissement 


Stopped 


AppMgmt 


Gestion d ' applications 


Stopped 


aspnet_state 


Service d'etat ASP.NET 


Stopped 


CiSvc 


Service d' indexation 


Stopped 


ClipSrv 


Gestionnaire de 1' Album 


Stopped 


clr_optimizatio. . 


. .NET Runtime Optimization Service v... 


Stopped 


COMSysApp 


Application systeme C0M+ 


Stopped 


dmadmin 


Service d ' administration du Gestion... 


Stopped 


HidServ 


Acces du peripherique d' interface u... 


Stopped 


HTTPFilter 


HTTP SSL 


Stopped 


IDriverT 


InstallDriver Table Manager 


Stopped 


ImapiService 


Service COM de gravage de CD IMAPI 


Stopped 


mnmsrvc 


Partage de Bureau a distance NetMee... 
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Stopped 


MSDTC 


Distributed Transaction Coordinator 


Stopped 


MSIServer 


Windows Installer 


Stopped 


NetDDE 


DDE reseau 


Stopped 


NetDDEdsdm 


DSDM DDE reseau 


Stopped 


NtLmSsp 


Fournisseur de la prise en charge d... 


Stopped 


NtmsSvc 


Stockage amovible 


Stopped 


ose 


Office Source Engine 


Stopped 


RasAutO 


Gestionnaire de connexion automatiq . . . 


Stopped 


RDSessMgr 


Gestionnaire de session d'aide sur ... 


Stopped 


RemoteAccess 


Routage et acces distant 


Stopped 


RemoteRegistry 


Acces a distance au Registre 


Stopped 


RpcLocator 


Localisateur d ' appels de procedure ... 


Stopped 


RSVP 


QoS RSVP 


Stopped 


SCardSvr 


Carte a puce 


Stopped 


SwPrv 


MS Software Shadow Copy Provider 


Stopped 


SysmonLog 


Journaux et alertes de performance 


Stopped 


TlntSvr 


Telnet 


Stopped 


upnphost 


Hote de peripherique universel Plug... 


Stopped 


UPS 


Onduleur 


Stopped 


VSS 


Cliche instantane de volume 


Stopped 


WmdmPmSN 


Service de numero de serie du lecte... 


Stopped 


Wmi 


Extensions du pilote WMI 


Stopped 


WmiApSrv 


Carte de performance WMI 


Stopped 


xmlprov 


Service d ' approvisionnement reseau 


PS C:\> 







Bien que ce script d'une ligne soit simple, il illustre parfaitement l'ecriture et l'utilisation 
d'un script dans PowerShell. Si necessaire, nous pouvons inclure d'autres commandes pour 
qu'il effectue une tache d'automation. En voici un exemple : 

param ([string] $DemarrerAvec) 

$ServicesArretes = get-service I where-object {$_. Status -eq "Stopped"} 

write-host "Les services $DemarrerAvec suivants sont arretes sur" 
"$Env : COMPUTERNAME :" - Foregroundcolor Yellow 

$ServicesArretes I where-object {$_.Name -like $DemarrerAvec} I 
format -table Name, DisplayName 
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Ce script affiche les resultats suivants : 



r 

PS C:\> C: 


\Sc nipt s\AffichenSenvicesAn net es . ps1 N* 


Les services N* suivants sont arretes sun PLANX : 


Name 


DisplayName 


NetDDE 


DDE neseau 


NetDDEdsdm 


DSDM DDE neseau 


NtLmSsp 


Founnisseun de la pnise en change 


de. . . 




NtmsSvc 


Stockage amovible 


PS C:\> 


- 



Ce script est un peu plus complexe car il peut filtrer les services arretes en fonction de la 
chaine fournie. II ne s'agit pas d'un element d'automation tres complique, mais il permet 
d'illustrer quelques possibilites de PowerShell. Pour en beneficier, vous devez simplement 
mieux comprendre les fonctionnalites de PowerShell afin d'ecrire des scripts plus complexes 
et plus interessants. 

En resume 

Vous venez de decouvrir les bases de PowerShell. Au cours de cet apprentissage, vous avez 
fait connaissance avec certains concepts, comme les differents types de commandes 
PowerShell, les applets de commandes (cmdlets), les alias, les variables, l'interface en 
ligne de commande et les portees. Apres cette presentation, vous avez aborde l'ecriture de 
scripts PowerShell et developpe votre premier script. Cependant, 1' element le plus impor- 
tant de ce chapitre est que vous avez telecharge et installe PowerShell avant de commencer 
a le manipuler. 

En utilisant simplement PowerShell, vous avez franchi la premiere des nombreuses etapes 
menant a sa maitrise complete. Le premier pas est toujours le plus difficile et, une fois fait, 
la route devient de plus en plus facile. En lisant les chapitres suivants, vous remarquerez que 
vos competences augmentent avec 1' acquisition de nouveaux concepts et l'utilisation de 
PowerShell dans la realisation de taches d'automation. 
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Presentation avancee 
de PowerShell 

Dans ce chapitre 

■ Introduction 

■ Orientation objet 

■ Comprendre les fournisseurs 

■ Comprendre les erreurs 

■ Gerer les erreurs 

■ Profils 

■ Comprendre la securite 

■ Langage 

Introduction 

Ce chapitre detaille certaines particularites du fonctionnement de PowerShell que vous devez 
comprendre avant de passer aux chapitres traitant de l'ecriture de scripts. Ne vous attachez 
pas trop aux details. L'objectif est de comprendre les concepts. Puisque PowerShell apporte 
son lot de changements par rapport a l'ancienne ecriture des scripts pour Windows, vous 
devez egalement modifier vos methodes de developpement. Avec un peu de pratique, l'ecri- 
ture de scripts PowerShell vous sera aussi familiere que le developpement de scripts en 
VBScript ou JScript, qui constituent les methodes standard pour mettre en oeuvre des taches 
d'automation sous Windows. 
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Orientation objet 

La plupart des shells operant dans un environnement de type texte. Cela signifie generale - 
ment que la sortie doit etre traitee pour effectuer des taches d'automation. Par exemple, si les 
donnees d'une commande doivent etre envoyees a une autre commande, la sortie de la 
premiere doit generalement etre remise en forme afin de repondre aux exigences d'entree de 
la seconde. Meme si cette methode fonctionne depuis des annees, le traitement de donnees 
dans un format textuel peut etre difficile et frustrant. 

Le plus souvent, un travail important est necessaire pour transformer les donnees textuelles 
en un format utilisable. Dans PowerShell, Microsoft a decide de modifier les standards. Au 
lieu de transporter les donnees sous forme de texte brut, PowerShell le fait sous forme d'ob- 
jets .NET Framework, ce qui permet aux applets de commande d'acceder directement aux 
proprietes et aux methodes d'un objet. Cette evolution simplifie egalement l'usage du shell. 
Plutot que de modifier des donnees textuelles, nous pouvons simplement faire reference aux 
donnees requises par leur nom. De meme, au lieu d'ecrire du code pour convertir les donnees 
dans un format utilisable, nous pouvons simplement faire reference aux objets et les manipu- 
ler comme bon nous semble. 

Comprendre le pipeline 

Les objets nous apportent une methode de traitement des donnees plus robuste. Par le passe, 
les donnees etaient transferees d'une commande a la suivante en utilisant un pipeline (tube). 
II est ainsi possible d'enchainer une suite de commandes afin de reunir des informations 
concernant un systeme. Cependant, comme nous l'avons mentionne precedemment, la 
plupart des shells presentent un inconvenient majeur : les informations fournies par les 
commandes sont du texte. Ce texte brut doit etre transforme en un format compatible avec la 
commande suivante avant d'etre place dans le pipeline. Pour comprendre ce fonctionnement, 
examinons l'exemple Bash suivant : 



$ ps -ef I grep "bash" I cut -f2 



L'objectif est de trouver l'identifiant du processus (PID, Process ID) bash. La liste des 
processus en cours d'execution est obtenue a l'aide de la commande ps. Ensuite, elle est 
envoyee, via un tube (I), a la commande grep, qui applique un nitre avec la chaine "bash". 
Les informations restantes sont envoyees a la commande cut, qui retourne le second champ, 
dans lequel se trouve le PID (le delimiteur de champ est un caractere de tabulation). 
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Un delimiteur est un caractere qui sert a separer les champs de donnees. Le delimiteur par 
defaut de la commande cut est un caractere de tabulation. Pour choisir un autre delimiteur, 
vous devez utiliser le parametre -d. 



D'apres les informations des pages de manuel des commandes grep et cut, la commande ps 
devrait fonctionner. Cependant, le PID n'est pas retourne ni affiche dans le bon format. 

La commande ne fonctionne pas car le shell Bash nous oblige a manipuler les donnees 
textuelles pour afficher le PID. La commande ps envoie sa sortie dans un format textuel et sa 
conversion en un format utilisable necessite d'autres commandes, comme grep et cut. La 
manipulation des donnees textuelles complique notre tache. Par exemple, pour obtenir le 
PID a partir des donnees renvoyees par la commande grep, nous devons indiquer l'emplace- 
ment du champ et le delimiteur pour que la commande cut produise l'information recher- 
chee. Pour cela, executons la premiere partie de la commande ps : 



$ ps -ef | grep "bash" 

bob 3628 1 con 16:52:46 /usr/bin/bash 



Le champ recherche est le second (3628). Vous remarquerez que la commande ps ne separe 
pas les colonnes de sa sortie par un caractere de tabulation. A la place, elle utilise un nombre 
variable d'espaces ou un delimiteur espace blanc entre les champs. 



Un delimiteur espace blanc est constitue de caracteres, comme les espaces ou les tabulations, 
qui equivalent a un espace vide. 



La commande cut ne peut savoir que les espaces doivent etre employes comme separateurs 
de champ. II s'agit de la raison du dysfonctionnement de la commande. Pour obtenir le PID, 
nous devons nous servir du langage awk. La commande et la sortie deviennent alors les 
suivantes : 



$ ps -ef | grep "bash" I awk '{print $2} 
3628 
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Le point important est que, malgre la puissance des commandes des shells UNIX et Linux, 
ils peuvent etre compliques et frustrants. Puisque ces shells utilisent un format textuel, les 
commandes manquent souvent de fonctionnalites ou necessitent des commandes ou des 
outils supplementaires pour effectuer certaines taches. Pour prendre en charge les differences 
dans les sorties textuelles des commandes du shell, de nombreux utilitaires et langages de 
scripts ont ete developpes. 

Toutes ces conversions ont pour resultat une arborescence de commandes et d' outils qui 
rendent les shells difficiles a manier et gourmands en temps. C'est l'une des raisons de la 
proliferation des interfaces de gestion graphiques. Cette tendance se retrouve egalement 
parmi les outils employes par les administrateurs de systemes Windows. En effet, Microsoft 
s'est attache a ameliorer les interfaces de gestion graphiques aux depens des interfaces en 
ligne de commande. 

Aujourd'hui, les administrateurs Windows ont acces aux memes possibilites d'automation 
que leurs collegues UNIX et Linux. Cependant, PowerShell et son orientation objet permet- 
tent de satisfaire les besoins d'automation que les administrateurs Windows ont exprimes 
depuis les premiers jours des traitements par lots et de WSH : une plus grande facilite d' uti- 
lisation et moins de conversions. L'exemple suivant montre comment fonctionne le pipeline 
de commandes PowerShell : 



PS C:\> get-process bash | format-table id -autosize 

Id 
3628 

PS C:\> 



A l'instar de l'exemple Bash, l'objectif est d'afficher le PID du processus bash. Tout d'abord, 
les informations concernant ce processus sont obtenues a l'aide de Get -Process. Ensuite, 
elles sont envoyees a l'applet de commande Format -Table, qui retourne un tableau contenant 
uniquement le PID du processus Bash. 

L'exemple Bash exige l'ecriture d'une commande shell complexe, contrairement a l'exem- 
ple PowerShell qui necessite simplement la mise en forme d'un tableau. Comme vous pouvez 
le constater, la structure des applets de commandes PowerShell est beaucoup plus facile a 
comprendre et a utiliser. 
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Puisque nous disposons du PID du processus bash, voyons comment nous pouvons tuer 
(arreter) ce processus : 



PS C:\> get-process bash | stop-process 
PS C:\> 



Conseils .NET Framework 

Avant de poursuivre, vous devez connaitre quelques details sur l' interaction entre PowerShell 
et .NET Framework. Ces informations sont essentielles a la comprehension des scripts qui 
seront presentes au cours des chapitres suivants. 

Applet de commande New-Object 

New-Obj ect permet de creer une instance d'un objet .NET. Pour cela, nous precisons simple - 
ment le nom complet de la classe .NET de l' objet : 



PS C:\> $Ping = new-object Net . Networklnf ormation . Ping 
PS C:\> 



Grace a New-Object, nous disposons d'une instance de la classe Ping qui permet de deter- 
miner si un ordinateur distant peut etre contacte via ICMP {Internet Control Message 
Protocol). Autrement dit, nous disposons d'une version objet de l'outil en ligne de 
commande Ping . exe. 

Vous vous demandez peut-etre quel est le remplacant de la methode VBScript CreateOb j ect : 
il s'agit de l'applet de commande New-Object. Nous pouvons egalement employer l'option 
comOb j ect de cette applet de commande pour creer un objet COM, simplement en precisant 
1'identificateur de programmes (ProgID) de l'objet : 



PS C:\> $IE = new-object -comObject InternetExplorer. Application 

PS C:\> $IE.Visible=$True 

PS C:\> $IE.Navigate( "www.france3.fr" ) 

PS C:\> 



72 Partie 1 



Introduction a PowerShell 



Crochets 

Dans ce livre, vous remarquerez l'usage des crochets ([ et ]), qui indiquent que le terme 
inclus est une reference .NET Framework. Voici les references valides : 

■ un nom de classe complet, par exemple [System. DirectoryServices.ActiveDirectory 
.Forest] ; 

■ une classe de Vespace de noms System, par exemple [string], [int], [boolean], etc. ; 

■ un type abrege, par exemple [ADSI], [WMI], [Regex],etc. 




Le Chapitre 8, "PowerShell et WMI", reviendra en detail sur les types abreges. 



La definition d'une variable est un bon exemple d'utilisation d'une reference .NET 
Framework. Dans le cas suivant, une enumeration est affectee a une variable en utilisant une 
conversion explicite en une classe .NET : 



r 

PS 


C: 


\> 


$UnNombre = 


^ 

[int]1 


PS 


C: 


\> 


$Identite = 


[System . Security . Principal . NTAccount ] " Administrates" 


PS 

»- 


C: 


\> 







Si une enumeration ne peut etre constitute que d'un ensemble fige de constantes, que nous 
ne connaissons pas, nous pouvons utiliser la methode GetNames de la classe System. Enum 
pour obtenir cette information : 



PS C: \> [enum] : : GetNames ( [System .Security .AccessControl. FileSystemRights] ) 

ListDirectory 

ReadData 

WriteData 

CreateFiles 

CreateDirectories 

AppendData 

ReadExtendedAttributes 

WriteExtendedAttributes 

Traverse 

ExecuteFile 

DeleteSubdirectoriesAndFiles 
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ReadAttributes 

WriteAttributes 

Write 

Delete 

ReadPermissions 
Read 

ReadAndExecute 
Modify 

ChangePe remissions 

TakeOwnership 

Synchronize 

FullControl 

PS C:\> 



Classes et methodes statiques 

Les crochets ne servent pas uniquement a definir des variables, mais egalement a utiliser ou 
a invoquer des membres statiques d'une classe .NET. Pour cela, il suffit de placer deux carac- 
teres deux-points ( : : ) entre le nom de la classe et la methode ou la propriete statique : 



r ■> 

PS C: \> [System. DirectoryServices.ActiveDirectory. Forest] : :GetCurrentForest ( ) 


Name 


: taosage . internal 


Sites 


: {HOME} 


Domains 


: {taosage. internal} 


GlobalCatalogs 


: {sol. taosage. internal} 


ApplicationPartitions 


: {DC=DomainDnsZones,DC=taosage,DC=internal, DC=ForestDns 




Zones , DC=taosage , DC=internal} 


ForestMode 


: Windows2003Forest 


RootDomain 


: taosage . internal 


Schema 


: CN=Schema,CN=Configuration,DC=taosage, DC=internal 


SchemaRoleOwner 


: sol. taosage. internal 


NamingRoleOwner 


: sol. taosage. internal 


PS C:\> 
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Reflexion 

La reflexion est une fonctionnalite .NET Framework qui permet aux developpeurs d'exami- 
ner des objets et de retrouver leurs methodes, leurs proprietes, leurs champs, etc. Puisque 
PowerShell s'appuie sur .NET Framework, il offre egalement cette possibility, grace a 1' ap- 
plet de commande Get -Member. Elle analyse l'objet ou l'ensemble d'objets que nous lui 
passons via le pipeline. Par exemple, la commande suivante analyse les objets retournes par 
Get - Process et affiche leurs proprietes et leurs methodes : 



PS C:\> get-process | get-member 



Les developpeurs designent souvent ce processus sous le terme "interroger" un objet. Cette 
solution permet d'obtenir plus rapidement des informations sur des objets que d'invoquer 
l'applet de commande Get -Help (qui, au moment de l'ecriture de ces lignes, fournit des infor- 
mations limitees), de lire la documentation MSDN ou de faire une recherche sur Internet. 



r 

PS C:\> get-process | get 


-member 


1 


TypeName : System . Diagnostics . Process 




Name 


MemberType 


Definition 


Handles 


AliasProperty 


Handles = Handlecount 


Name 


AliasProperty 


Name = ProcessName 


NPM 


AliasProperty 


NPM = NonpagedSystemMemorySize 


PM 


AliasProperty 


PM = PagedMemorySize 


VM 


AliasProperty 


VM = VirtualMemorySize 


WS 


AliasProperty 


WS = WorkingSet 


add_Disposed 


Method 


System. Void add_Disposed (Event . . . 


add_ErrorDataReceived 


Method 


System. Void add_ErrorDataRecei. . . 


add_Exited 


Method 


System. Void add_Exited(EventHa. . . 


add_OutputDataReceived 


Method 


System. Void add_OutputDataRece. . . 


BeginErrorReadLine 


Method 


System. Void BeginErrorReadLine ( ) 


BeginOutputReadLine 


Method 


System . Void BeginOutputReadLine ( ) 


CancelErrorRead 


Method 


System. Void CancelErrorRead ( ) 


CancelOutputRead 


Method 


System. Void CancelOutputRead ( ) 


Close 


Method 


System. Void Close () 


CloseMainWindow 


Method 


System. Boolean CloseMainWindow) ) 


CreateObjRef 


Method 


System. Runtime. Remoting. Ob jRef . . . 


Dispose 


Method 


System. Void Dispose() 


Equals 


Method 


System. Boolean Equals (Object obj ) 
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get_BasePriority 


Method 


System. Int32 get_BasePriority ( ) 


get_Container 


Method 


System. ComponentModel. IContain. . . 


get_EnableRaisingEvents 


Method 


System. Boolean get_EnableRaisi. . . 


NounName 


NoteProperty 


System. String NounName=Process 


BasePriority 


Property 


System. Int32 BasePriority {get;} 


Container 


Property 


System. ComponentModel. IContain. . . 


EnableRaisingEvents 


Property 


System. Boolean EnableRaisingEv. . . 


ExitCode 


Property 


System. Int32 ExitCode {get;} 


ExitTime 


Property 


System. DateTime ExitTime {get;} 


Handle 


Property 


System. intPtr Handle {get;} 


HandleCount 


Property 


System. Int32 HandleCount {get;} 


HasExited 


Property 


System. Boolean HasExited {get;} 


Id 


Property 


System. Int32 Id {get;} 


MachineName 


Property 


System. String MachineName {get;} 


MainModule 


Property 


System. Diagnostics. ProcessModu. . . 


MainWindowHandle 


Property 


System. IntPtr MainWindowHandle. . . 


MainWindowTitle 


Property 


System. String MainWindowTitle ... 


MaxWorkingSet 


Property 


System. IntPtr MaxWorkingSet {g... 


MinWorkingSet 


Property 


System. IntPtr MinWorkingSet {g... 


Company 


ScriptProperty System. Object Company {get=$th... 


CPU 


ScriptProperty System. Object CPU {get=$this .T. . . 


Description 


ScriptProperty System. Object Description {get... 


FileVersion 


ScriptProperty System. Object FileVersion {get... 


Path 


ScriptProperty System. Object Path {get=$this. . . . 


Product 


ScriptProperty System. Object Product {get=$th... 


ProductVersion 


ScriptProperty System. Object ProductVersion {... 


PS C:\> 







Cet exemple montre que les objets retournes par Get -Process possedent des proprietes que 
nous ne connaissions pas. L' exemple suivant utilise ces informations pour generer un rapport 
sur les processus appartenant a Microsoft, ainsi que leur emplacement : 



PS C:\> get-process | where-object {$_. Company -match " . *Microsof t* " } I 
format-table Name, ID, Path -Autosize 

Name Id Path 



ctfmon 4052 C:\WIND0WS\system32\ctfmon.exe 
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explorer 3024 C:\WINDOWS\Explorer.EXE 

iexplore 2468 C:\Program FilesUnternet Explorer\iexplore.exe 

iexplore 3936 C:\Program FilesUnternet Explorer\iexplore.exe 

mobsync 280 C:\WINDOWS\system32\mobsync.exe 

notepad 1600 C:\WINDOWS\system32\notepad.exe 

notepad 2308 C:\WINDOWS\system32\notepad.exe 

notepad 2476 C:\WIND0WS\system32\N0TEPAD.EXE 

notepad 2584 C:\WINDOWS\system32\notepad.exe 

OUTLOOK 3600 C:\Program Files\Microsof t Office\OFFICE11\OUTLOOK.EXE 

powershell 3804 C:\Program Files\Windows PowerShell\v1.0\powershell.exe 

WINWORD 2924 C:\Program Files\Microsof t Office\OFFICE11\WINWORD.EXE 

PS C:\> 



Une seule ligne de code WSH serait bien incapable d'obtenir ces informations sur le processus. 

Get -Member n'est pas reservee aux objets generes par les applets de commande PowerShell. 
Nous pouvons egalement l'employer sur des objets initialises a partir de classe .NET, par 
exemple : 



PS C:\> new-object System. DirectoryServices . DirectorySearcher 



La classe DirectorySearcher a pour fonction d'obtenir des informations sur un utilisateur 
depuis Active Directory, mais nous ne connaissons pas les methodes prises en charge par les 
objets retournes. Pour connaitre cette information, executons Get -Member sur une variable 
contenant les objets mysterieux : 



PS C:\> $Recherche = new-object System. DirectoryServices. DirectorySearcher 
PS C:\> $Recherche | get-member 

TypeName : System . DirectoryServices . DirectorySearcher 
Name MemberType Definition 



add_Disposed Method 

CreateObjRef Method 

Dispose Method 

Equals Method 

FindAll Method 



System. Void add_Disposed(EventHandle. . . 
System. Runtime. Remoting.ObjRef Creat. . . 
System. Void Dispose () 
System. Boolean Equals(Object obj ) 
System. DirectoryServices. SearchResul. . . 
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FindOne 

Asynchronous 

AttributeScopeQuery 

CacheResults 

ClientTimeout 

Container 

DerefAlias 

DirectorySynchronization 

ExtendedDN 

Filter 

PageSize 

PropertiesToLoad 

PropertyNamesOnly 

Ref erralChasing 

SearchRoot 

SearchScope 

SecurityMasks 

ServerPageTimeLimit 

ServerTimeLimit 

Site 

SizeLimit 
Sort 

Tombstone 
VirtualListView 

PS C:\> 



Method System. DirectoryServices.SearchResul. . . 

Property System. Boolean Asynchronous {get;set;} 

Property System. String AttributeScopeQuery {g... 

Property System. Boolean CacheResults {get;set;} 

Property System. TimeSpan ClientTimeout {get;s... 

Property System. ComponentModel. IContainer Con... 

Property System. DirectoryServices. Dereference. . . 

Property System. DirectoryServices. DirectorySy. . . 

Property System. DirectoryServices. ExtendedDN ... 

Property System. String Filter {get;set;} 

Property System. Int32 PageSize {get;set;} 

Property System. Collections. Specialized. Strin. . . 

Property System. Boolean PropertyNamesOnly {ge... 

Property System. DirectoryServices. ReferralCha. . . 

Property System. DirectoryServices. DirectoryEn. . . 

Property System. DirectoryServices. SearchScope. . . 

Property System. DirectoryServices. SecurityMas. . . 

Property System. TimeSpan ServerPageTimeLimit . . . 

Property System. TimeSpan ServerTimeLimit {get... 

Property System. ComponentModel. ISite Site {ge... 

Property System. Int32 SizeLimit {get;set;} 

Property System. DirectoryServices. SortOption ... 

Property System. Boolean Tombstone {get; set;} 

Property System. DirectoryServices. DirectoryVi. . . 



Vous noterez la presence de la methode FindAll et de la propriete Filter. II s'agit d'attributs 
d'objets qui peuvent servir a rechercher des informations concernant des utilisateurs dans un 
domaine Active Directory. La premiere etape, pour utiliser ces attributs, consiste a filtrer les 
informations renvoyees par DirectorySearcher grace a la propriete Filter, qui attend une 
instruction de nitre analogue a celles employees avec LDAP (Lightweight Directory Access 
Protocol) : 



PS C:\> SRecherche. Filter = ( " (obj ectCategory=user) " ) 
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Ensuite, nous recuperons tous les utilisateurs du domaine Active Directory a l'aide de la 
methode FindAll : 



PS C:\> $Utilisateurs = $Recherche . FindAll( ) 



A ce stade, la variable $utilisateurs englobe une collection d'objets contenant les identifiants 
uniques (DN, Distinguished Name) de tous les utilisateurs du domaine Active Directory : 



PS C:\> $Utilisateurs 

Path Properties 

LDAP://CN=Administrator,CN=Users,DC=. . . {homemdb, samaccounttype, countrycod . . . 
LDAP: //CN=Guest,CN=Users,DC=taosage, . . . {samaccounttype, objectsid, whencrea... 
LDAP://CN=krbtgt,CN=Users,DC=taosage. . . {samaccounttype, objectsid, whencrea... 
LDAP: //CN=admintyson,OU=Admin Accoun. . . {countrycode, cn, lastlogoff, usncre... 
LDAP: / /CN=servmom,OU=Service Account... {samaccounttype, lastlogontimestamp, . . . 
LDAP://CN=SUPPORT_388945a0,CN=Users, . . . {samaccounttype, objectsid, whencrea... 
LDAP : / /CN=Tyson , 0U=Acc . . . {msmqsigncertificates , distinguished . . . 
LDAP: //CN=Maiko,OU=Acc. . . {homemdb, msexchhomeservername, coun... 
LDAP://CN=servftp,OU=Service Account... {samaccounttype, lastlogontimestamp,... 
LDAP: //CN=Erica,OU=Accounts,OU. . . {samaccounttype, lastlogontimestamp, . . . 
LDAP : / / CN=Garett , 0U=Accou . . . {samaccounttype, lastlogontimestamp, . . . 
LDAP://CN=Fujio,OU=Accounts,0. . . {samaccounttype, givenname, sn, when... 
LDAP: //CN=Kiyomi,OU=Accounts, . . . {samaccounttype, givenname, sn, when... 
LDAP ://CN=servsql,OU=Service Account. . . {samaccounttype, lastlogon, lastlogo... 
LDAP ://CN=servdhcp,OU=Service Accoun. . . {samaccounttype, lastlogon, lastlogo... 
LDAP: //CN=servrms,OU=Service Account. . . {lastlogon, lastlogontimestamp, msmq... 

PS C:\> 




Info 



Les commandes de ces exemples utilisent les parametres de connexion par defaut de la classe 
DirectorySearcher. Autrement dit, la connexion a Active Directory emploie le contexte de 
nommage par defaut. Si vous souhaitez etablir une connexion a un domaine autre que celui 
par defaut, vous devez fixer les parametres de connexion appropries. 
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Nous disposons a present d'un objet pour chaque utilisateur. Nous pouvons utiliser l'applet 
de commande Get - Member pour en savoir plus sur ces objets : 



r 

PS C:\> SUtilisateurs | get- 


^ 

-member 


TypeName : System . DirectoryServices . SearchResult 


Name 


MemberType Definition 


Equals 


Method 


System. Boolean Equals (Object obj ) 


get_Path 


Method 


System. String get_Path() 


get_Properties 


Method 


System. DirectoryServices. ResultPropertyCollecti. . . 


GetDirectoryEntry Method 


System. DirectoryServices. DirectoryEntry GetDire. . . 


GetHashCode 


Method 


System. Int32 GetHashCode( ) 


GetType 


Method 


System. Type GetType () 


ToString 


Method 


System. String ToString () 


Path 


Property 


System. String Path {get;} 


Properties 


Property 


System. DirectoryServices. ResultPropertyCollecti. . . 


PS C:\> 




-« 



Pour obtenir les informations concernant ces objets d'utilisateurs, il semblerait que nous 
devions les prendre tour a tour et invoquer leur methode GetDirectoryEntry. Pour connaitre 
les donnees que nous allons obtenir, appelons a nouveau Get -Member : 



r 

PS C:\> $Utilisateurs[0 


] .GetDirectoryEntry 


1 

() | get -member -MemberType Property 


TypeName : System . DirectoryServices . DirectoryEntry 




Name 


MemberType Definition 




accountExpires 


Property 


System . DirectoryServices . 


Property. . . 


adminCount 


Property 


System . DirectoryServices . 


, Property. . . 


badPasswordTime 


Property 


System . DirectoryServices . 


Property. . . 


badPwdCount 


Property 


System. DirectoryServices. Property. . . 


cn 


Property 


System . DirectoryServices . 


, Property. . . 


codePage 


Property 


System . DirectoryServices . 


. Property. . . 


countryCode 


Property 


System . DirectoryServices . 


, Property. . . 


description 


Property 


System . DirectoryServices . 


, Property. . . 


displayName 


Property 


System . DirectoryServices . 


, Property. . . 


distinguishedName 


Property 


System . DirectoryServices . 


.Property. . . 
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homeMDB 


Property 


homeMTA 


Property 


instanceType 


Property 


isCriticalSystemObj ect 


Property 


lastLogon 


Property 


lastLogonTimestamp 


Property 


legacy ExchangeDN 


Property 


logonCount 


Property 


mail 


Property 


mailNickname 


Property 


mDBUseDefaults 


Property 


memberOf 


Property 


msExchALOb j ectVersion 


Property 


msExchHomeServerName 


Property 


msExchMailboxGuid 


Property 


msExchMailboxSecurityDescriptor Property 


msExchPolicies Included 


Property 


msExchUserAccountControl 


Property 


mSMQDigests 


Property 


mSMQSignCertificates 


Property 


name 


Property 


nTSecurityDescriptor 


Property 


objectCategory 


Property 


objectClass 


Property 


objectGUlD 


Property 


objectSid 


Property 


primaryGroupID 


Property 


proxyAddresses 


Property 


pwdLastSet 


Property 


sAMAccountName 


Property 


sAMAccountType 


Property 


showInAddressBook 


Property 


textEncodedORAddress 


Property 


userAccountControl 


Property 


uSNChanged 


Property 


uSNCreated 


Property 


whenChanged 


Property 


whenCreated 


Property 



System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 
System . DirectoryServices . Property . 



PS C:\> 
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Le parametre MemberType demande a Get -Member de retrouver un type de membre particulier. 
Par exemple, pour afficher les methodes associees a un objet, utilisez la commande get -member 
-MemberType Methode. 



Si vous voulez reellement utiliser PowerShell, vous devez vous familiariser avec Get - Member. Si 
vous ne comprenez pas son fonctionnement, il vous sera parfois difficile de determiner les 
possibilites d'un objet. 

Nous savons a present comment extraire des informations depuis Active Directory. Nous 
pouvons done reunir toutes les commandes precedentes : 



PS C:\> $Recherche = new-object System. DirectoryServices . DirectorySearcher 
PS C:\> SRecherche. Filter = ( " (obj ectCategory=user) " ) 
PS C:\> SUtilisateurs = $Recherche.FindAll( ) 

PS C:\> foreach ($Utilisateur in $Utilisateurs){$Utilisateur.GetDirectoryEntry() 

. sAMAccountName} 

Administrator 

Guest 

krbtgt 

admintyson 

servmom 

SUPPORT_388945a0 

Tyson 

Maiko 

servf tp 

Erica 

Garett 

Fu j io 

Kiyomi 

servsql 

servdhep 

servrms 

PS C:\> 



Bien que la liste des utilisateurs de ce domaine ne soit pas tres longue, elle montre parfaitement 
que nous pouvons interroger un ensemble d'objets pour en comprendre les possibilites. 
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Nous pouvons faire de meme pour les classes statiques. Mais, si Ton tente d'utiliser Get -Member 
comme nous l'avons fait precedemment, nous obtenons l'erreur suivante : 



PS C:\> new-object System. Net. Dns 

New-Object : Constructeur introuvable. Impossible de trouver un constructeur 
approprie pour le type System . Net . Dns . 

Au niveau de ligne : 1 Caractere : 11 

+ new-object «« System. Net. Dns 

PS C:\> 



Ainsi que vous le constatez, la classe System. Net. Dns ne possede pas de constructeur, ce 
qui ne nous facilite pas la tache. Cependant, Get -Member sait egalement comment traiter 
ce cas. Avec le parametre Static, nous pouvons obtenir les informations concernant les 
classes statiques : 



r 

PS C:\> [System. Net, 


,Dns] | get 




-member -Static 


TypeName: System. Net. Dns 




Name 


MemberType Definition 


BeginGetHostAddresses Method 


static System. IAsyncResult BeginGetHostAddr. . . 


BeginGetHostByName 


Method 


static System. IAsyncResult BeginGetHostByNa. . . 


BeginGetHostEntry 


Method 


static System. IAsyncResult BeginGetHostEntr. . . 


BeginResolve 


Method 


static System. IAsyncResult BeginResolve (Str. . . 


EndGetHostAddresses 


Method 


static System.Net.lPAddress[] EndGetHostAdd. . . 


EndGetHostByName 


Method 


static System. Net. IPHostEntry EndGetHostByN. . . 


EndGetHostEntry 


Method 


static System. Net. IPHostEntry EndGetHostEnt . . . 


EndResolve 


Method 


static System. Net. IPHostEntry EndResolve ( IA. . . 


Equals 


Method 


static System. Boolean Equals(Object objA, 0... 


GetHostAddresses 


Method 


static System.Net.IPAddress[] GetHostAddres . . . 


GetHostByAddress 


Method 


static System. Net. IPHostEntry GetHostByAddr. . . 


GetHostByName 


Method 


static System. Net. IPHostEntry GetHostByName... 


GetHostEntry 


Method 


static System. Net. IPHostEntry GetHostEntry (.. . 


GetHostName 


Method 


static System. String GetHostName() 


Ref erenceEquals 


Method 


static System. Boolean Ref erenceEquals (Ob j ec. . . 


Resolve 


Method 


static System. Net. IPHostEntry Resolve (Strin. . . 


PS C:\ 

>- 
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Nous savons tout de la classe System. Net. Dns et nous pouvons done la mettre en oeuvre. 
Comme exemple, utilisons la methode GetHostAddress afin de connaitre l'adresse IP du site 
Web www.digg.com : 



r 

PS C:\> [System. Net 


1 

.Dns] : :GetHostAddresses( "www.digg.com" ) 


IPAddressToString : 


64.191 .203.30 


Address : 


516669248 


AddressFamily : 


Internetwork 


Scopeld : 




IsIPv6Multicast : 


False 


IsIPv6LinkLocal : 


False 


IsIPv6SiteLocal : 


False 


PS C:\> 






Nous venons de le voir, I'applet de commande Get -Member peut etre un outil tres puissant. 
Elle peut egalement etre pernicieuse car il est facile de passer des heures a explorer les possi- 
bilites des differentes applets de commande et des classes. Pour vous empecher d'etre victime 
du syndrome de I'utilisateur stresse de Get -Member, essayez de limiter vos sessions de decou- 
verte a deux heures par jour. 



Systeme de types etendu 

Vous pourriez penser que les scripts PowerShell n'utilisent aucun systeme de type car il est 
rarement necessaire de preciser le type d'une variable. Mais e'est faux. En effet, PowerShell 
s'interface avec differents types d'objets issus de .NET, de WMI (Windows Management 
Instrumentation), de COM {Component Object Model), d'ADO {ActiveX Data Objects), 
d'ADSI {Active Directory Service Interfaces), de XML {Extensible Markup Language) et 
meme d'objets personnels. En revanche, les types ne nous concernent generalement pas car 
PowerShell s'adapte aux differents types d'objets et affiche son interpretation d'un objet a 
notre place. 

En quelque sorte, PowerShell tente de fournir une couche d' abstraction commune qui offre 
des interactions coherentes avec les objets, malgre l'existence des types. Cette couche 
d'abstraction est PSOb j ect. II s'agit d'un objet commun employe pour tous les acces aux objets. 
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II peut encapsuler n'importe quel objet de base (.NET, personnel, etc.), n'importe quel 
membre d'une instance et un acces implicite ou explicite aux membres etendus adaptes et du 
type, selon le type de l'objet de base. 

Par ailleurs, il peut etablir son type et ajouter des membres dynamiquement. Pour cela, 
PowerShell utilise le systeme de types etendu (ETS, Extended Type System), qui fournit une 
interface permettant aux developpeurs d' applets de commande et de scripts de manipuler et 
de modifier les objets selon les besoins. 



Lorsque vous utilisez Get -Member, les informations obtenues proviennent de PSObject. II 
arrive que PSObject cache des membres, des methodes et des proprietes de l'objet originel. 
Si vous souhaitez voir les informations bloquees, utilisez la propriete BaseOb j ect dont le nom 
standard est PSBase. Par exemple, la commande $Procs.PSBase I get -member affiche les 
informations bloquees de la collection $Procs. 

Bien entendu, cet aspect fait partie des sujets avances, car PSBase n'est pas mentionnee. Vous 
devrez I'utiliser lorsque PSObject n'interprete pas correctement un objet ou lorsque vous 
voudrez etudier les aspects caches de PowerShell. 



Par consequent, grace au systeme de types etendu, nous pouvons modifier des objets en 
adaptant leur structure a nos besoins ou creer de nouveaux objets. Pour manipuler des objets, 
une solution consiste a adapter (etendre) des types existants ou a creer de nouveaux types 
d' objets. Pour cela, il faut definir les types personnalises dans un fichier de type, dont la 
structure repose sur le fichier des types par defaut, Types . psl xml. 

Dans ce fichier, tous les types se trouvent dans un noeud <Type></Type> et chaque type 
peut contenir des membres standard, des membres de donnees et des methodes d'objet. 
En nous appuyant sur cette structure, nous pouvons creer notre propre fichier de types 
personnalises et le charger dans une session PowerShell grace a 1' applet de commande 
Update -TypeData : 



PS C:\> Update -TypeData D:\PS\Mes.Types.Ps1xml 



Cette commande doit etre executee manuellement pour chaque session PowerShell ou ajou- 
tee au fichier profile . psl . 
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— Attention 

Le fichier Types. pslxml definit des comportements par defaut pour tous les objets de 
PowerShell. Vous ne devez en aucun cas le modifier, sinon vous pourriez empecher le fonc- 
tionnement de PowerShell. 



La seconde facon de manipuler la structure d'un objet passe par l'applet de commande 
Add -Member. Elle permet d'ajouter un membre defini par l'utilisateur a une instance d'objet 
existante : 



PS C:\> $Procs = get-process 

PS C:\> $Procs | add -member -Type scriptProperty "TotalDays" { 
» $Date = get -date 

» $Date.Subtract($This.StartTime) .TotalDays} 

» 

PS C:\> 



Ce code cree un membre scriptProperty nomme TotalDays pour la collection d'objets 
contenue dans la variable $Procs. Le membre scriptProperty peut ensuite etre appele 
comme n'importe quel autre membre de ces objets : 



Lorsque vous creez une methode de script, la variable $This represente I'objet courant. 



r 

PS C:\> $P 
AutoSize 


rocs | where {$_.name -Match ' 


^ 

'WINWORD" } I ft Name, TotalDays - 


Name 


TotalDays 




WINWORD 5, 


1238899696898148 




PS C:\> 







Meme si le membre scriptProperty n'est pas particulierement utile, il montre bien comment 
etendre un objet. Cette capacite d'extension des objets est extremement utile, que ce soit 
pour l'ecriture d'un script ou le developpement d'une applet de commande. 
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Comprendre les fournisseurs 

La plupart des systemes informatiques servent a stacker des donnees, generalement dans une 
structure comme un systeme de fichiers. Etant donne le volume de donnees enregistre dans 
ces structures, le traitement et la recherche d' informations peuvent etre complexes. Les shells 
offrent generalement des interfaces, ou fournisseurs, pour interagir avec les magasins de 
donnees de maniere predefinie. PowerShell dispose egalement d'un ensemble de fournis- 
seurs pour presenter le contenu des magasins de donnees, par le biais d'un jeu d'applets de 
commande principales. Nous pouvons nous en servir pour parcourir et manipuler les donnees 
enregistrees au travers d'une interface commune. La commande suivante affiche la liste des 
applets principales : 



r 

PS C:\> help about_core_ 


1 

commands 


APPLETS DE COMMANDE 


Childltem 


Get -Childltem 




APPLETS DE COMMANDE 


CONTENT 


Add -Content 




Clear-Content 




Get -Content 




Set -Content 




APPLETS DE COMMANDE 


DRIVE 


Get -PSDrive 




New-PSDrive 




Remove -PSDrive 




APPLETS DE COMMANDE 


ITEM 


Clear-Item 




Copy -Item 




Get -Item 




Invoke - Item 




Move - Item 




New- Item 




Remove - Item 




Rename - Item 




Set -Item 




APPLETS DE COMMANDE 


LOCATION 


Get -Location 
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Pop-Location 




Push-Location 




Set -Location 




APPLETS DE COMMANDE 


PATH 


Join -Path 




Convert-Path 




Split -Path 




Resolve-Path 




Test -Path 




APPLETS DE COMMANDE 


PROPERTY 


Clear-Itemproperty 




Copy -ItemProperty 




Get-ItemProperty 




Move -ItemProperty 




New- ItemProperty 




Remove - ItemProperty 




Rename - ItemProperty 




Set-ItemProperty 




APPLETS DE COMMANDE 


PROVIDER 


Get -PSProvider 




PS C:\> 





La commande suivante affiche les fournisseurs PowerShell predefinis : 



r 

PS C:\> get 


-psprovider 




Name 


Capabilities 


Drives 


Alias 


ShouldProcess 


{Alias} 


Environment 


ShouldProcess 


{Env} 


FileSystem 


Filter, ShouldProcess 


{C, D, E, F...} 


Function 


ShouldProcess 


{Function} 


Registry 


ShouldProcess 


{HKLM, HKCU} 


Variable 


ShouldProcess 


{Variable} 


Certificate 


ShouldProcess 


{cert} 


PS C:\> 
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Cette liste presente non seulement les fournisseurs integres, mais egalement les lecteurs 
reconnus par chacun d'eux. Un lecteur est une entite utilisee par un fournisseur pour repre- 
senter un magasin de donnees et au travers duquel ces donnees sont rendues disponibles a la 
session PowerShell. Par exemple, le fournisseur Registry cree un lecteur PowerShell pour les 
cles HKEY_LOCAL_MACH I NE et HKEY_CURRENT_USER. 

La commande suivante affiche tous les lecteurs PowerShell reconnus : 



PS C: \> get-psdrive 

Name Provider Root 



Alias Alias 

C FileSystem C:\ 

cert Certificate \ 

D FileSystem D:\ 

E FileSystem E:\ 

Env Environment 

F FileSystem F:\ 

Function Function 

G FileSystem G:\ 

HKCU Registry HKEY_CURRENT_USER 

HKLM Registry HKEY_LOCAL_MACHINE 

U FileSystem U 

Variable Variable 



PS C:\> 



Acceder aux lecteurs et aux donnees 

Pour acceder aux lecteurs PowerShell et a leurs donnees, une solution consiste a utiliser 
1' applet de commande Set -Location. Elle modifie l'emplacement de travail en selectionnant 
celui qui est indique, lequel peut etre un repertoire, un sous-repertoire, une pile d'emplace- 
ments ou un emplacement dans le Registre : 



PS C:\> set-location hklm: 

PS HKLM : \> set-location sof tware\microsoft\windows 
PS HKLM: \sof tware\microsof t\windows> 
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Get -Childltem permet ensuite d'afficher les sous-cles de la cle Windows : 



r 

PS HKLM: 


: \sof tware\microsof t\windows> 


1 

get -childitem 


Hive: 


Microsoft. PowerShell. Core\Registry: : HKEY LOCAL MACHINE\software\micros 


of t\windows 




SKC VC 


Name 


Property 


55 13 


CurrentVersion 


{DevicePath, MediaPathUnexpanded, SM_. . . 


0 16 


Help 


{PINTLPAD . HLP , PINTLPAE . HLP , IMEPADEN... 


0 36 


Html Help 


{PINTLGNE . CHM, PINTLGNT . CHM , PINTLPAD... 


1 0 


ITStorage 


{} 


0 0 


Shell 


{} 


PS HKLM: 


: \sof tware\microsof t\windows> 



Vous remarquerez qu'avec le fournisseur Registry, Get -Childltem donne uniquement la 
liste des sous-cles d'une cle, sans les valeurs du Registre. En effet, les valeurs du Registre 
sont considerees comme des proprietes d'une cle, non comme un element valide. 

Pour obtenir ces valeurs, nous devons utiliser l'applet de commande Get - itemProperty : 



PS HKLM : \sof tware\ microsoft \windows> get -itemproperty currentversion 


PSPath 


: Microsoft. PowerShell. Core\Registry: :HKEY_LOCAL_MACHI 




NE\sof twa re \microsof t\ windows \ cur rent version 


PSParentPath 


: Microsoft. PowerShell. Core\Registry: :HKEY_LOCAL_MACHI 




NE\sof twa re \microsof t\ windows 


PSChildName 


: currentversion 


PSDrive 


: HKLM 


PSProvider 


: Microsoft . PowerShell . Core \ Registry 


DevicePath 


: C:\WINDOWS\inf 


MediaPathUnexpanded 


: C:\WINDOWS\Media 


SM_GamesName 


: Jeux 


SM_ConfigureProgramsName 


: Configurer les programmes par defaut 


ProgramFilesDir 


: C: \Program Files 



90 Partie 1 



Introduction a PowerShell 



CommonFilesDir 


: C:\Program Files\Fichiers communs 


Productld 


: 76487 -OEM -001 1 903 -001 01 


WallPaperDir 


: C:\WINDOWS\Web\Wallpaper 


MediaPath 


: C:\WINDOWS\Media 


ProgramFilesPath 


: C : \Program Files 


SM_AccessoriesName 


: Accessoires 


PF_AccessoriesName 


: Accessoires 


PS HKLM: \software\microsoft\windows> 



Comme pour Get -Process, les donnees obtenues sont une collection d'objets que nous 
pouvons modifier arm d'obtenir la sortie souhaitee : 



PS HKLM: \software\microsoft\windows> get-itemproperty currentversion 
select Productld 

Productld 

76487 - OEM - XXXXXXX - XXXXX 

PS HKLM: \sof tware\microsof t\windows> 



L'acces aux donnees d'un fournisseur FileSystem est tout aussi simple. La meme logique de 
commandes change 1' emplacement et affiche la structure : 



r 

PS 


HKLM: \sof tware\ microsoft \windows> 


1 

set-location c: 


PS 


C: \> set-location "C: \WINDOWS\system32\windowspowershell\v1 .0\f r" 


PS 


C: \WIND0WS\system32\windowspowershell\v1 .0\fr> get -childitem about_a* 




Repertoire : Microsoft. PowerShell. Core\FileSystem: :C: \WIND0WS\system32\ 




windowspowershell\v1 .0\fr 




Mode LastWriteTime 


Length Name 


— 


19/09/2006 09:03 


6397 about_alias.help.txt 




19/09/2006 09:03 


3774 about_arithmetic_operators . help . txt 




19/09/2006 09:03 


9403 about_array.help.txt 
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19/09/2006 09:03 17090 about_assignment_operators.help.txt 

19/09/2006 09:03 6227 about_associative_array.help.txt 

19/09/2006 09:03 4597 about_automatic_variables.help.txt 

PS C: \WIND0WS\system32\windowspowershell\v1 .0\f r> 



Dans ce cas, les donnees sont stockees dans un element au lieu d'en etre des proprietes. Pour 
obtenir les donnees d'un element, nous devons invoquer 1' applet Get - Content : 



PS C: \WINDOWS\system32\windowspowershell\v1 .0\f r> get-content about_Alias.help.txt 
RUBRIQUE 
Alias 

DESCRIPTION COURTE 

Utilisation d'autres noms pour les applets de commande et les commandes 
dans Windows PowerShell 

DESCRIPTION LONGUE 

Un alias est un autre nom ou surnom utilise pour une applet de commande ou un 
element de commande, tel qu'une fonction, un script, un fichier ou un fichier 
executable. Vous pouvez utiliser 1' alias au lieu du nom de la commande. Par 
exemple, si vous etablissez 1' alias " gas " pour Get-AuthenticodeSignature, 
vous pouvez taper : 

gas c:\scripts\sqlscript.ps1 



PS C: \WIND0WS\system32\windowspowershell\v1 .0\f r> 




Tous les lecteurs ne s'appuient pas sur un magasin de donnees hierarchique. Par exemple, les 
fournisseurs Environment, Function et Variable ne sont pas hierarchiques. L'acces aux don- 
nees par le biais de ces fournisseurs se fait dans I'emplacement racine du lecteur associe. 



Monter un lecteur 

II est possible de creer et de supprimer des lecteurs PowerShell, ce qui est tres pratique lorsqu'un 
emplacement ou un ensemble d' emplacements est souvent utilise. Au lieu de changer I'emplace- 
ment ou d'employer un chemin absolu, nous pouvons creer de nouveaux lecteurs (ou "monter un 
lecteur" dans le jargon PowerShell) qui sont des raccourcis vers ces emplacements. 
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Pour cela, nous utilisons New-PSDrive : 



PS C:\> new-psdrive -name PSScripts -root D:\Dev\Scripts -psp FileSystem 
Name Provider Root CurrentLocation 

PSScripts FileSystem D:\Dev\Scripts 



PS C: \> get -psdrive 

Name Provider Root CurrentLocation 

Alias Alias 

C FileSystem C:\ 

cert Certificate \ 

D FileSystem D:\ 

E FileSystem E:\ 

Env Environment 

F FileSystem F:\ 

Function Function 

G FileSystem G:\ 

HKCU Registry HKEY_CURRENT_USER software 

HKLM Registry HKEY_LOCAL_MACHINE . . . crosof t \windOws 

PSScripts FileSystem D:\Dev\Scripts 

U FileSystem U:\ 

Variable Variable 



PS C:\> 



La suppression d'un lecteur se fait avec l'applet de commande Remove -PSDrive : 



PS C:\> remove-psdrive -name PSScripts 
PS C: \> get-psdrive 

Name Provider Root 



Alias 


Alias 






C 


FileSystem 


C: 


\ 


cert 


Certificate 


\ 




D 


FileSystem 


D: 


\ 


E 


FileSystem 


E: 


\ 


Env 


Environment 






F 


FileSystem 


F: 


\ 



"1 



CurrentLocation 
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Function 


Function 








G 


FileSystem 


G:\ 






HKCU 


Registry 


HKEY_ 


CURRENT_USER 


software 


HKLM 


Registry 


HKEY_ 


_LOCAL_MACH I N E 


. . . crosof t\windows 


U 


FileSystem 


U:\ 






Variable 


Variable 








PS C:\> 











Comprendre les erreurs 

Les erreurs PowerShell se repartissent en deux categories : fatales et non fatales. Comme 
leur nom le sous-entend, les erreurs fatales stoppent l'execution d'une commande. Les 
erreurs non fatales sont generalement signalees sans que la commande soit arretee. Lorsque 
des erreurs se produisent, quel que soit leur type, elles sont ajoutees dans la variable $Error. 
Cette collection contient les erreurs generees pendant la session PowerShell en cours. L' erreur 
la plus recente se trouve dans $Error[0] et le nombre maximal d'erreurs est defini par 
$MaximumErrorCount, qui vaut par defaut 256. 

Les erreurs contenues dans la variable $Error variable peuvent etre representees par l'objet 
ErrorRecord. II detient les informations d'exception, ainsi que d'autres proprietes permettant 
de comprendre l'origine d'une erreur. 



L'exemple suivant montre les informations qui se trouvent dans la propriete Invocationlnf o 
d'un objet ErrorRecord : 



r 

PS C:\> $Error[0] 


. Invocationlnf o 


1 


MyCommand 


: Get -Childltem 




ScriptLineNumber 


: 1 




Of f setlnLine 


: -2147483648 




ScriptName 






Line 


: dir z: 




PositionMessage 








Au niveau de ligne : 


1 Caractere : 4 




+ dir «« z: 




InvocationName 


: dir 




PipelineLength 


: 1 




PipelinePosition 


: 1 




PS C:\> 
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Grace a ces informations, nous pouvons determiner certains details concernant $Error[0], 
notamment la commande qui a provoque l'erreur. Ces informations sont essentielles pour 
comprendre les erreurs et les gerer efficacement. 

La commande suivante affiche la liste complete des proprietes d'ErrorRecord : 



r 

PS C:\> $Error[0] | 


1 

get-member -MemberType Property 


TypeName: System 


.Management .Automation . ErrorRecord 


Name 


MemberType Definition 


Categorylnfo 


Property System. Management. Automation. ErrorCategoryl. . . 


ErrorDetails 


Property System. Management. Automation. ErrorDetails E... 


Exception 


Property System. Exception Exception {get;} 


FullyQualifiedErrorld 


Property System. String FullyQualifiedErrorld {get;} 


Invocationlnfo 


Property System. Management. Automation. Invocationlnfo. . . 


TargetObject 


Property System. Object TargetObject {get;} 


PS C:\> 

L 




Le Tableau 3.1 recapitule les definitions des proprietes d'ErrorRecord affichees par l'exem- 


ple precedent. 




Tableau 3.1 Definitions des proprietes d'ErrorRecord 


Propriete 


Definition 


Categorylnfo 


Indique la categorie de l'erreur 


ErrorDetails 


Lorsqu'elle n'est pas nulle, el le fournit des informations 




supplementaires concernant l'erreur 


Exception 


L'erreur qui s'est produite 


FullyQualifiedErrorld 


Identifie plus precisement une condition d'erreur 


Invocationlnfo 


Lorsqu'elle n'est pas nulle, el le decrit le contexte dans lequel 




l'erreur s'est produite 


TargetObject 


Lorsqu'elle n'est pas nulle, el le indique I'objet cible de I'operation 
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Gerer les erreurs 

Les methodes de gestion des erreurs dans PowerShell vont de la plus simple a la plus complexe. 
La plus simple consiste a laisser PowerShell traiter l'erreur. Selon le type de Ferreur, la 
commande ou le script peut se terminer ou se poursuivre. Cependant, si le gestionnaire d'erreurs 
par defaut ne repond pas aux besoins, nous pouvons mettre en place une gestion d'erreurs plus 
complexe en employant les methodes decrites dans les sections suivantes. 

Methode 1 : preferences d'une applet de commande 

Dans PowerShell, certains parametres sont disponibles pour toutes les applets de commande. 
En particulier, les parametres ErrorAction et ErrorVariable fixent le traitement des erreurs 
nonfatales : 



PS C:\> get -childitem z: -ErrorVariable Err -ErrorAction SilentlyContinue 
PS C:\> if ($Err){write-host $Err -Foregroundcolor Red} 
Lecteur introuvable. II n'existe aucun lecteur nomme « z ». 
PS C:\> 



Le parametre ErrorAction definit le comportement d'une applet de commande lorsqu'elle ren- 
contre une erreur nonfatale. Dans l'exemple precedent, ce parametre est fixe a SilentlyContinue. 
Autrement dit, 1' applet de commande poursuit son execution sans afficher les erreurs nonfatales 
qui peuvent se produire. Voici les autres options d' ErrorAction : 

■ Continue. Afficher l'erreur et poursuivre l'execution (action par defaut). 

■ Inquire. Demander a l'utilisateur s'il souhaite poursuivre, arreter ou suspendre l'execution. 

■ Stop. Stopper l'execution de la commande ou du script. 




L'expression non fatale est mise en exergue dans cette section car une erreur fatale ne tient 
pas compte du parametre ErrorAction et est passee au gestionnaire d'erreurs par defaut ou 
personnalise. 



Le parametre ErrorVariable definit le nom de la variable pour l'objet d'erreur genere par 
une erreur nonfatale. Dans l'exemple precedent, ErrorVariable est fixe a Err. Vous remar- 
querez que le nom de la variable n'inclut pas le prefixe $. Cependant, pour acceder a 



96 Partie 1 



Introduction a PowerShell 



ErrorVariable en dehors d'une applet de commande, le prefixe $ est indispensable ($Err). 
Par ailleurs, apres que ErrorVariable a ete definie, la variable resultante est valide dans la 
session PowerShell en cours ou le bloc de script associe. Autrement dit, d'autres applets de 
commande peuvent ajouter des objets d'erreur a une variable d'erreur existante en utilisant 
le prefixe + : 



PS C:\> get-childitem z: -ErrorVariable Err -ErrorAction SilentlyContinue 

PS C:\> get-childitem y: -ErrorVariable +Err -ErrorAction SilentlyContinue 

PS C:\> write-host $Err[0] -Foregroundcolor Red 

Lecteur introuvable. II n'existe aucun lecteur nomme « z ». 

PS C:\> write-host $Err[1] -Foregroundcolor Red 

Lecteur introuvable. II n'existe aucun lecteur nomme « y ». 

PS C:\> 



Methode 2 : interception des erreurs 

En cas d'erreur fatale, PowerShell affiche par defaut Ferreur et stoppe l'execution de la 
commande ou du script. Pour mettre en place une gestion personnalisee des erreurs fatales, 
il faut definir un gestionnaire d'exception qui empeche que l'erreur fatale (ErrorRecord) ne 
soit envoy ee au mecanisme par defaut. Cette procedure s' applique egalement aux erreurs 
non fatales, car PowerShell affiche par defaut l'erreur et poursuit la commande ou le script. 

Pour definir une interception, nous utilisons la syntaxe suivante : 
trap ExceptionType {code; mot-cle} 



La premiere partie, ExceptionType, precise le type d'erreur accepte par l'interception. S'il 
n'est pas precise, toutes les erreurs sont interceptees. La partie code, facultative, peut etre une 
commande ou un ensemble de commandes qui sont executees une fois l'erreur envoyee au 
gestionnaire. La derniere partie, mot-cle, precise si l'interception autorise la poursuite de 
l'execution du bloc de code ou l'erreur s'est produite ou bien si elle doit etre stoppee. 

Voici les mots cles reconnus : 

■ Break. Lexception est a nouveau levee et l'execution de la portee en cours s'arrete. 

■ Continue. L'execution de la portee courante peut se poursuivre a partir de la ligne qui se 
trouve apres celle ou s'est produite l'exception. 

■ Return [argument]. L'execution de la portee courante est arretee et l'argument est 
retourne, s'il est precise. 
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Si aucun mot cle n'est donne, le gestionnaire utilise Return [argument] ; argument etant 
l'objet ErrorRecord initialement passe au gestionnaire. 

Exemples d'interception 

Les deux exemples suivants montrent comment definir des gestionnaires d'erreurs. Le premier 
illustre une interception d'erreur non fatale produite lorsqu'un nom de DNS invalide est 
passe a la classe System. Net. Dns. Le second exemple presente a nouveau l'interception 
d'une erreur non fatale generee par l'applet de commande Get - Item. Cependant, dans ce cas, 
puisque le parametre ErrorAction a ete fixe a Stop, l'erreur est en realite une erreur fatale qui 
est traitee par le gestionnaire. 

Exemple 1 : traperreurl .ps1 

$NomDNS = "www.-nomdnsinvalide-.com" 

trap [System. Management .Automation .MethodlnvocationException] { 
write-host ("ERREUR : " + $_) - Foregroundcolor Red; Continue} 

write-host "Obtenir l'adresse IP de" SNomDNS 

write-host ( [System . Net .Dns] : :GetHost Addresses ( "www.$nomdnsinvalide$. com" ) ) 
write-host "Termine" 

Dans cet exemple, le parametre $_represente l'objet ErrorRecord qui a ete passe au gestion- 
naire. 

Voici la sortie produite par cet exemple : 



PS C:\> . \traperreur1 .ps1 

Obtenir l'adresse IP de www.-nomdnsinvalide-.com 

ERREUR : Exception lors de l'appel de « GetHostAddresses » avec « 1 » 
argument (s) : « Hote inconnu » 

Termine 

PS C:\> 



Une applet de commande ne genere pas d'erreur fatale sauf en cas d'erreur de syntaxe. 
Autrement dit, un gestionnaire n'intercepte aucune erreur non fatale produite par une 
applet de commande, sauf si l'erreur est transformee en une erreur fatale apres que le para- 
metre ErrorAction de l'applet a ete fixe a Stop. 
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Exemple 2 : traperreur2.ps! 



write-host "Changer le lecteur 


pour z : " 


trap {write - host ("[ ERREUR] " + 


$_) -Foregroundcolor Red; Continue} 


get-item z: -ErrorAction Stop 




$FichiersTXT = get-childitem * 


txt -ErrorAction Stop 


write-host "Termine" 





Voici la sortie produite par cet exemple : 



PSC:\> . \traperreur2.ps1 
Changer le lecteur pour z: 

[ERREUR] L'execution de la commande s'est arretee, car la variable 
d 1 environnement « ErrorActionPref erence » a la valeur Stop : Lecteur 
introuvable. II n'existe aucun lecteur nomme « z ». 

Termine 

PS C:\> 



Portees d'interception 

Comme nous l'avons explique au Chapitre 2, "Les fondamentaux de PowerShell", dans 
PowerShell, une portee determine l'execution des interceptions. En general, un gestionnaire 
d'erreurs est defini et execute au sein de la meme portee. Par exemple, nous pouvons definir 
un gestionnaire dans une certaine portee et, lorsqu'une erreur fatale se produit dans cette 
portee, il est execute. Si la portee en cours ne contient aucun gestionnaire d'erreurs mais s'il 
en existe un dans une portee exterieure, les erreurs fatales rencontrees sortent de la portee en 
cours et sont passees au gestionnaire dans la portee externe. 

Methode 3 : mot de throw 

Dans PowerShell, nous pouvons generer nos propres erreurs fatales. Cela ne signifie pas 
provoquer des erreurs en utilisant une syntaxe invalide, mais generer expres une erreur fatale 
en utilisant le mot cle throw. Ainsi, 1' exemple suivant genere une erreur lorsqu'un utilisateur 
execute le script MonParam.psl sans definir le parametre MonParam. Cette possibility est tres 
utile lorsque des donnees provenant de fonctions, d'applets de commande, de sources de 
donnees, d' applications, etc., ne sont pas celles attendues et peuvent done empecher l'execu- 
tion correcte d'un script ou d'un ensemble de commandes. 



Chapitre 3 



Presentation avancee de PowerShell 99 



Voici le script : 

param( [string]$MonParam = $(throw write-host "Le parametre MonParam n'a pas 
ete defini" -Foregroundcolor Red)) 

write-host $MonParam 
Et sa sortie : 



PS C: \> . \MonParam.ps1 

Le parametre MonParam n'a pas ete defini 

ScriptHalted 

Au niveau de C:\MonParam.ps1 : 1 Caractere : 34 

+ param( [string]$MonParam = $(throw <<<< write-host "Le parametre MonParam 
n'a pas ete defini" -Foregroundcolor Red)) 

PS C:\> 



Profils 

Un profil est un ensemble enregistre de parametres qui personnalisent 1'environnement Power- 
Shell. II existe quatre types de profils, charges dans un ordre precis a chaque demarrage de 
PowerShell. La section suivante explique ces types de profils, ou ils doivent etre places et 
1' ordre de leur chargement. 

Le profil Tous les utilisateurs 

Ce profil se trouve dans le fichier %windir%\system32\windowspowershell\v1 .0\profile.ps1. 
Les parametres qui y sont definis sont appliques a tous les utilisateurs PowerShell sur la 
machine courante. Si vous voulez configurer PowerShell pour l'ensemble des utilisateurs 
d'une machine, vous devez modifier ce profil. 

Le profil Tous les utilisateurs pour un note specifique 

Ce profil se trouve dans le fichier %windir%\system32\windowspowershell\v1 .®\IdShell_ 
profile.psl. Les parametres qui y sont definis sont appliques a tous les utilisateurs du shell 
en cours (par defaut la console PowerShell). PowerShell reconnait le concept de shells, ou 
hotes, multiples. Par exemple, la console PowerShell est un hote, que la majorite des utilisateurs 
emploient exclusivement. Cependant, d' autres applications peuvent demarrer une instance 
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de PowerShell afin d'executer des commandes et des scripts PowerShell. II s'agit alors d'une 
application note, qui utilise un profil particulier pour controler la configuration de PowerShell. 
Le nom du profil d'hote specifique inclut l'identifiant du shell. Dans la console PowerShell, 
cet identifiant est le suivant : 



PS C:\> $ShellId 
Microsoft . PowerShell 
PS C:\> 



En reunissant ces noms, le profil Tous les utilisateurs pour un hote specifique de la 
console PowerShell s'appelle done Microsoft . PowerShell profile . psl . Pour les autres 
holes, l'identifiant du shell et les noms des profils sont differents. Par exemple, l'outil 
PowerShell Analyzer (www.powershellanalyzer.com) est un hote qui offre une inter- 
face graphique elaboree pour PowerShell. Son identifiant de shell est PowerShellAnalyzer. 
PSA et son profil Tous les utilisateurs pour un hote specifique est PowerShellAnalyzer . PSA 
_profile . ps1 . 

Le profil Utilisateur courant 

Ce profil se trouve dans le fichier %userprofile%\Mes Document s\WindowsPowerShell\ profile . ps1 . 
L' utilisateur qui souhaite definir ses propres parametres de profil peut le faire dans ce fichier. 
Les parametres sont appliques uniquement a sa session PowerShell courante et n'affectent 
pas les autres utilisateurs. 

Le profil Utilisateur courant pour un hote specifique 

Ce profil se trouve dans le fichier %userprofile%\ My Document s \WindowsPowe rShell \ IdShell_ 
profile.psl. Comme pour le profil Tous les utilisateurs pour un hote specifique, ce type de 
profil charge les parametres uniquement pour le shell en cours. Cependant, ils sont propres a 
1' utilisateur. 



— Info 

Lorsque vous demarrez le shell pour la premiere fois, un message signalant que les scripts 
sont desactives et qu'aucun profil n'est charge peut s'afficher. Vous pouvez changer ce 
comportement en modifiant la strategie d'execution de PowerShell (voir la section sui- 
vante). 
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Comprendre la securite 

Lorsque WSH est arrive avec Windows 98, il a ete accueilli comme une aubaine par les 
administrateurs Windows qui souhaitaient disposer des memes possibilites d' automation que 
leurs homologues UNIX. Dans le meme temps, les createurs de virus ont rapidement decou- 
vert que WSH constituait egalement un vecteur d'attaque des systemes Windows. 

II est possible d'automatiser et de controler pratiquement l'integralite d'un systeme Windows a 
l'aide de WSH, ce qui constitute un grand avantage pour les administrateurs. En revanche, WSH 
n'apporte aucune securite dans l' execution des scripts. Lorsqu'on lui designe un script, 
WSH l'execute. L'origine du script et son role n'ont aucune importance. C'est pourquoi WSH 
s'est rapidement fait connaitre comme un trou de securite et non comme un outil d'automation. 

Strategies d'execution 

A cause des critiques concernant la securite de WSH, l'equipe de developpement de Power- 
Shell a decide d'inclure une strategie d'execution qui reduit les menaces potentielles d'un 
code malveillant. Une strategie d'execution contraint l' execution des scripts et le chargement 
des fichiers de configuration dans PowerShell. II en existe quatre, detaillees au cours des 
sections suivantes : Restricted, AllSigned, RemoteSigned et Unrestricted. 

Strategie Restricted 

Par defaut, PowerShell utilise la strategie d'execution Restricted. Elle est la plus securisee 
car PowerShell ne peut alors fonctionner qu'en mode interactif. Autrement dit, aucun script 
ne peut etre lance et seuls les fichiers de configuration signes numeriquement par un editeur 
de confiance peuvent etre executes ou charges. 

Strategie AllSigned 

La strategie d'execution AllSigned est moins contraignante que Restricted. Lorsqu'elle est 
activee, seuls les scripts et les fichiers de configuration signes numeriquement par un editeur 
de confiance peuvent etre executes ou charges. Voici un exemple de sortie obtenue lorsque la 
strategie AllSigned est active : 



PS C: \Scripts> . \MonScript . ps1 

Impossible de charger le fichier C:\Scripts\MonScript.ps1. Le fichier C:\Scripts\ 
MonScript . ps1 n'est pas signe numeriquement. Le script ne sera pas execute sur 
le systeme. Pour plus d' informations, consultez « get -help about_signing ».. 

Au niveau de ligne : 1 Caractere : 24 

+ . \MonScript.ps1 «« 

PS C:\Scripts> 
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La signature d'un script ou d'un fichier de configuration exige un certificat de signature de 
code. Ce certificat peut provenir d'une autorite de certification (CA, Certificate Authority) ou 
nous pouvons en generer un avec l'outil de creation d'un certificat (Makecert . exe). Cependant, 
il est generalement preferable d'obtenir un certificat de signature de code aupres d'une auto- 
rite de certification reconnue, comme Verisign, Thawte ou 1' infrastructure a cles publiques 
(PKI, Public Key Infrastructure) de votre entreprise. Dans le cas contraire, le partage de vos 
scripts ou de vos fichiers de configuration risque d'etre plus difficile car votre ordinateur 
n'est pas, par defaut, une autorite de certification approuvee. 

— Info 

Le Chapitre 4, "Signer du code", explique comment obtenir un certificat de signature du 
code valide et digne de confiance. Nous conseillons fortement de le lire car la signature 
numerique des scripts et des fichiers de configuration est un sujet extremement important. 



Strategie RemoteSigned 

La strategie d'execution RemoteSigned est concue de maniere a empecher l'execution ou le 
chargement automatique des scripts et des fichiers de configuration PowerShell distants qui 
n'ont pas ete signes numeriquement par un editeur de confiance. Les scripts et les fichiers de 
configuration qui ont ete crees localement peuvent etre charges et executes, meme s'ils n'ont 
pas ete signes. 

Un script ou un fichier de configuration distant peuvent etre obtenus a partir d'une applica- 
tion de communication, comme Microsoft Outlook, Internet Explorer, Outlook Express ou 
Windows Messenger. L'execution ou le chargement d'un fichier fourni par l'une de ces 
applications produisent le message d'erreur suivant : 



PS C: \Scripts> . \SonScript . ps1 

Impossible de charger le fichier C:\Scripts\SonScript.ps1. Le fichier 
C:\Scripts\SonScript.ps1 n'est pas signe numeriquement. Le script ne sera 
pas execute sur le systeme. Pour plus d 1 informations, consultez « get-help 
about_signing » . . 

Au niveau de ligne : 1 Caractere : 24 
+ .\SonScript.ps1 «« 
PS C:\Scripts> 
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Pour executer ou charger un script ou un fichier de configuration distant non signe, il faut 
indiquer que le fichier est digne de confiance. Pour cela, cliquez du bouton droit sur le fichier 
dans l'explorateur Windows et choisissez Proprietes. Dans l'onglet General, cliquez sur le 
bouton Debloquer (voir Figure 3.1). 

Apres que le fichier a ete approuve, le script ou le fichier de configuration peut etre execute 
ou charge. S'il est signe numeriquement, mais si l'editeur n'est pas de confiance, PowerShell 
affiche 1' invite suivante : 



PS C:\Scripts> . \ScriptSigne . ps1 

Voulez-vous executer le logiciel de cet editeur non approuve ? 

Le fichier C:\Scripts\ScriptSigne.ps1 est publie par CN=companyabc . com, 0U=IT, 

O=companyabc.com, L=0akland, S=Calif ornia, C=US et n'est pas approuve sur 
votre systeme. N'executez que des scripts provenant d'editeurs approuves. 

[M] Ne jamais executer [N] Ne pas executer [0] Executer une fois 

[T] Toujours executer[?] Aide (la valeur par defaut est « N ») : 



Dans ce cas, nous devons decider si nous pouvons faire confiance ou non au contenu du 
fichier. 



Proprietes de SonScript.psI 



General Securile Resume 



Type de fichier : Fichier PS1 
S'ouvre avec : ^ Bloc-notes 



Emplacement : C:\Scripts 

Taille: 136 octets [136 octets) 

Taille sur le disque : 4,00 Ko (4 096 octets) 



Cree le : merctedi 3 octobie 2007. 16:04:12 

Modifie le : mercredi 3 octobre 2007. 1 6:04:12 

Dernier acces le : mercredi 3 octobre 2007. 16:04:12 



Attributs : (~J Lecture seule Q Fichier cache 



Ce fichier provient d'un aulre ordinateur et peut 
eventuellement etre bloque pour proteger cet ordinateur. 



[ Avance... 
| Debloquer 



Figure 3. 1 

Faire confiance a un 
script ou un fichier de 
configuration distant. 



104 Partie 1 



Introduction a PowerShell 



Info 



Le Chapitre 4 reviendra en detail sur les options de cette invite. 



Strategie Unrestricted 

Comme son nom le suggere, la strategie d' execution Unrestricted retire pratiquement toutes 
les restrictions d' execution des scripts ou de chargement des fichiers de configuration. Tous 
les fichiers locaux ou signes peuvent etre executes ou charges, mais, pour les fichiers distants, 
PowerShell vous demande de choisir ce qu'il doit faire : 



PS C:\Scripts> . \ScriptDistant . ps1 
Avertissement de securite 

N'executez que des scripts que vous approuvez. Bien que les scripts en 
provenance d' Internet puissent etre utiles, ce script est susceptible 
d ' endommager votre ordinateur. Voulez-vous executer 
C:\Scripts\ScriptDistant.ps1 ? 

[N] Ne pas executer [0] Executer une fois [S] Suspendre [?] Aide 
(la valeur par defaut est « N ») : 



Fixer la strategie d'execution 

Pour changer de strategie d'execution, nous devons employer 1' applet de commande Set- 
ExecutionPolicy : 



PS C:\> set-executionpolicy AllSigned 
PS C:\> 



L' applet de commande Get -ExecutionPolicy affiche la strategie d'execution en place : 



PS C:\> get-executionpolicy 

AllSigned 

PS C:\> 



Lors de 1' installation de PowerShell, la strategie d'execution est fixee par defaut a Rest ricted. 
Comme vous le savez, les configurations par defaut ne sont pas conservees tres longtemps. 
Par ailleurs, si PowerShell est installe sur de nombreuses machines, la probability que la 
strategie d'execution passe a Unrestricted augmente rapidement. 
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Par chance, il est possible de controler la strategie d' execution de PowerShell par le biais 
du Registre. Ce parametre est une valeur de type REG_SZ baptisee ExecutionPolicy, qui se 
trouvedans lacleHKLM\SOFTWARE\Microsoft\PowerShell\1 \ShellIds\Microsof t . PowerShell. 
Ce controle de la strategie d'execution par le biais du Registre signifie qu'il est possible 
d'imposer une strategie sur les machines gerees par une strategie de groupe (GPO, Group 
Policy Object). 

Par le passe, la creation d'un GPO pour controler la strategie d'execution etait simple car 
l'installation de PowerShell incluait un modele d' administration (ADM, Administrative 
Template). Cependant, depuis la version PowerShell RC2, le modele d' administration ne fait 
plus partie de l'installation et n'est pas forcement disponible dans un telechargement separe. 
Si Microsoft ne fournit aucun ADM pour controler la strategie d'execution, vous pouvez 
toujours creer le votre, comme le montre l'exemple suivant : 



CLASS MACHINE 



CATEGORY !! PowerShell 
POLICY ! iSecurity 

KEYNAME " SOFTWARE \Microsoft\ PowerShell \1 \ Shell I ds\ Microsoft . PowerShell" 
EXPLAIN ! ! PowerShell_ExecutionPolicy 

PART !! ExecutionPolicy EDITTEXT REQUIRED 

VALUENAME "ExecutionPolicy" 
END PART 
END POLICY 
END CATEGORY 





[ strings] 

PowerShell=PowerShell 
Security=Parametres de securite 

PowerShell_ExecutionPolicy=Si elle est activee, cette strategie definira la 
strategie d'execution de PowerShell sur une machine a la valeur indiquee. 
Les valeurs de strategie d'execution sont Restricted, AllSigned, RemoteSigned 
ou Unrestricted. 

Executionpolicy=Strategie d ' execution 



Une version operationnelle de cet ADM est disponible sur la page consacree a Windows 
PowerShell, al'adresse www.pearsoneducation.fr. Meme sile fichier PowerShellExecution - 
Policy . adm a ete teste et doit fonctionner dans votre environnement, sachez que les parame- 
tres de strategie d'execution qu'il contient sont consideres comme des preferences. Les 
parametres de preference sont des GPO qui sont des valeurs du Registre placees en dehors 
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des arborescences de strategies de groupe approuvees. Lorsqu'un GPO qui contient des para- 
metres de preference quitte son etendue, les parametres de preference ne sont pas retires sur 
Registre. 



Comme pour tous les fichiers disponibles sur la page Web dediee a Windows PowerShell, 
essayez le modele d'administration dans un environnement de test avant de deployer un 
GPO qui I'utilise. 



Pour configurer le fichier PowerShellExecutionPolicy . adm, procedez comme suit : 

1. Connectez-vous sur une machine de gestion de la strategie de groupe en tant qu'adminis- 
trateur GPO. 

2. A l'aide de la console MMC de strategie de groupe (GPMC), creez un GPO nomme 
PowerShell. 

3. Dans l'arborescence de la console, ouvrez Configuration ordinateur et ensuite Modeles 
d'administration. 

4. Cliquez du bouton droit sur Modeles d'administration et choisissez Ajout/Suppression 
de modeles dans le menu contextuel. 

5. Allez dans le dossier qui contient le fichier PowerShellExecutionPolicy .adm. Selectionnez 
ce fichier, cliquez sur Ouvrir, puis sur Fermer. Le noeud PowerShell s'affiche alors sous 
le nceud Modeles d'administration. 

6. Cliquez sur le nceud Modeles d'administration, puis sur Affichage > Filtrage dans le 
menu de la MMC strategie de groupe. Decochez la case Afficher uniquement les para- 
metres de strategie pouvant etre entierement geres. Vous pourrez ainsi administrer les 
parametres de preferences. 

7. Cliquez ensuite sur le noeud PowerShell sous Modeles d'administration. 

8. Dans le volet de details, cliquez du bouton droit sur Parametres de securite et selection- 
nez Proprietes dans le menu contextuel. 

9. Cliquez sur Active. 

10. Fixez la strategie d'execution a l'une des valeurs suivantes : Restricted, AllSigned, 
RemoteSigned ou Unrestricted. 

11. Fermez le GPO, ainsi que la MMS strategie de groupe. 
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Controler la strategie d' execution par le biais d'un parametre de preference de GPO ne semble 
sans doute pas une solution parfaite. En effet, un parametre de preference n'offre pas le meme 
niveau de securite qu'un parametre de strategie d'execution et les utilisateurs disposant des 
droits adequats peuvent le modifier facilement. Ce manque de securite est probablement la 
raison du retrait du fichier ADM originel de PowerShell. Une version future de PowerShell 
pourrait autoriser le controle de la strategie d'execution par le biais d'un parametre de stra- 
tegie de GPO valide. 

Mesures de securite complementaires 

Les strategies d'execution ne sont pas la seule mesure de securite implementee par Microsoft 
dans PowerShell. Les fichiers de scripts PowerShell qui ont l'extension . psl ne peuvent pas etre 
executes a partir de l'Explorateur Windows car ils sont associes a Bloc-notes. Autrement dit, 
nous ne pouvons pas simplement double-cliquer sur un fichier . psl pour l'executer. Les scripts 
PowerShell doivent etre lances depuis une session PowerShell en utilisant un chemin relatif ou 
absolu ou depuis l'invite de commandes Windows en utilisant l'executable de PowerShell. 

Par ailleurs, comme nous l'avons explique au Chapitre 2, pour executer ou ouvrir un fichier 
du repertoire courant depuis la console PowerShell, il est necessaire de prefixer la commande 
par . \ ou . / . Cela evite que des utilisateurs PowerShell lancent accidentellement une 
commande ou un script sans avoir precise explicitement son execution. 

Enfin, par defaut, il n'existe aucune methode pour se connecter a PowerShell ou l'invoquer 
a distance. Cependant, cela ne signifie pas qu'il est impossible d'ecrire une application qui 
accepte les connexions distantes a PowerShell. En realite, cela existe deja. Si vous souhaitez 
apprendre comment proceder, telechargez PowerShell Remoting depuis le site www.code- 
plex.com/powershellremoting. 

Langage 

Sur ce point, ce livre differe des autres ouvrages sur les langages de scripts, qui tentent d'ex- 
pliquer les concepts de l'ecriture des scripts au lieu de montrer des scripts operationnels. 
Nous voulons mettre 1' accent sur les applications pratiques de PowerShell. 

Nous supposons que l'ecriture de scripts ne vous est pas totalement etrangere. Par ailleurs, 
puisque le langage de PowerShell est analogue a Perl, C# et meme VBScript, il n'y a aucune 
raison de perdre du temps a presenter les boucles for, les instructions if . . .then et les autres 
aspects fondamentaux de la progr animation. 
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II est vrai que certains points sont specifiques au langage de PowerShell, mais vous pouvez 
alors consulter sa documentation. Ce livre n'est pas un ouvrage de reference du langage, 
mais s'attache a illustrer l'application de PowerShell a des cas reels. Pour une information 
detaillee sur le langage de PowerShell, vous pouvez consulter le Guide de l'utilisateur dispo- 
nible via le menu Demarrer. 

En resume 

Vous venez de faire connaissance de maniere plus approfondie avec PowerShell et son fonc- 
tionnement. Vous avez aborde des sujets comme les fournisseurs, le traitement des erreurs, 
les profils et les strategies d'execution. Cependant, de tous les points etudies, le concept le 
plus important a retenir est que PowerShell s'appuie sur .NET Framework. Par consequent, 
il ne ressemble pas aux autres shells car il est oriente objet et il tente de presenter tous les 
objets sous une forme commune qui peut etre utilisee sans autre modification dans les 
commandes et les scripts. A partir de la et avec les connaissances acquises aux Chapitres 2 
et 3, vous allez explorer l'ecriture de scripts PowerShell. Les scripts des chapitres suivants 
vont devenir de plus en plus complexes, au fur et a mesure de la presentation des differents 
aspects de 1' automation de Windows avec PowerShell. 
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Signer du code 

Dans ce chapitre 

■ Introduction 

■ Qu'est-ce que la signature du code ? 

■ Obtenir un certificat de signature du code 

■ Signer des scripts 

■ Verifier des signatures numeriques 

■ Distribuer du code signe 

Introduction 

Pour apprendre a signer les scripts et les fichiers de configuration de PowerShell, vous avez 
passe du temps a faire des recherches sur Internet, lu plusieurs blogs qui traitent de ce sujet, 
consulte la documentation PowerShell et meme parcouru plusieurs livres sur PowerShell. 
Plus vous vous renseignez sur la signature du code, moins cela vous semble clair. Pour finir, 
vous ouvrez votre console PowerShell et saisissez la commande suivante : 



set -executionpolicy unrestricted 




Avant d'entrer cette commande, n'oubliez pas ce que vous avez appris a propos des strategies 
d'execution au Chapitre 3, "Presentation avancee de PowerShell". Le parametre Unrestricted 
annihile une couche de securite importante concue pour empecher 1' execution du code 
malveillant sur votre systeme. La signature du code est une autre composante essentielle de 
la securite de PowerShell, mais nombreux sont ceux a la croire trop complexe et a utiliser une 
strategic d'execution Unrestricted pour ne pas avoir a l'employer. En reponse a un billet 
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concernant la signature de code sur le blog de Scott Hanselman (www.hanselman.com/blog), 
un internaute a fait le commentaire suivant : "La gestion des certificats de signature du code 
depasse les capacites de nombreux utilisateurs, y compris des developpeurs et des adminis- 
trateurs normaux." Cette reponse montre bien un reel besoin d' explications. Ce chapitre se 
consacre done a la signature du code. En surface, cela semble complexe, mais, avec des 
explications claires, la procedure est facile a comprendre. Les createurs de scripts, les deve- 
loppeurs et les administrateurs doivent se familiariser avec elle, car il s'agit d'un element 
essentiel de la mise en place d'une securite. 

Qu'est-ce que la signature du code ? 

En bref, la signature du code consiste a signer numeriquement des scripts, des fichiers 
executables, des DLL, etc., afin de donner un certain niveau de confiance au code, laquelle 
repose sur deux hypotheses. Premierement, un code signe garantit qu'il n'a pas ete modifie 
ou corrompu depuis sa signature. Deuxiemement, la signature numerique sert a prouver 
l'identite de l'auteur du code, ce qui doit aider l'utilisateur a savoir s'il peut executer le code 
en toute securite. 

Ces deux hypotheses sont un moyen de garantir l'integrite et l'authenticite du code. 
Cependant, a elles seules, elles n'assurent pas la fiabilite du code signe. Pour qu'elles soient 
valides, nous avons besoin de la signature numerique et de 1' infrastructure qui definit un 
mecanisme d'identification de l'origine de la signature. 

Les signatures numeriques reposent sur une cryptographie a cles publiques, avec des algo- 
rithmes de chiffrement et de dechiffrement. Ces algorithmes generent une paire de cles cons- 
titute d'une cle privee et d'une cle publique. La cle privee reste secrete et seul son proprietaire 
y a acces. La cle publique peut etre donnee a d'autres entites, au travers d'une forme d'inte- 
raction securisee. Selon le type d' interaction, une cle sert a verrouiller (chiffrer) la commu- 
nication et 1' autre sert a la debloquer (dechiffrer). Dans le cas des signatures numeriques, la 
cle privee est utilisee pour generer la signature, tandis que la cle publique permet de valider 
la signature generee. Voici la procedure mise en oeuvre : 

1. Un code de hachage a sens unique du contenu (document, code, etc.) a signer est genere 
en utilisant un condensat (digest) cryptographique. 

2. Le code de hachage est ensuite chiffre a l'aide de la cle privee, afin d'obtenir la signature 
numerique. 

3. Le contenu est ensuite envoye au destinataire. 
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4. Le destinataire cree un autre code de hachage a sens unique du contenu et dechiffre le 
code de hachage a l'aide de la cle publique de l'emetteur. 

5. Le destinataire compare les deux codes de hachage. S'ils sont identiques, la signature 
numerique est valide et le contenu n'a pas ete modifie. 



Une fonction de hachage a sens unique (egalement appelee condensat de message, empreinte 
ou somme de controle) est un algorithme cryptographique qui convertit des donnees en une 
suite binaire de longueur fixe. Le terme "a sens unique" vient du fait qu'il est difficile de 
retrouver les donnees originelles a partir de la suite obtenue. 



Pour associer une entite, comme un organisme, une personne ou un ordinateur, a une signa- 
ture numerique, un certificat numerique est utilise. II est constitue de la cle publique et des 
informations d' identification du proprietaire de la paire de cles. Pour en garantir l'integrite, 
il est egalement signe numeriquement. Un certificat numerique peut etre signe par son 
proprietaire ou par un tiers de confiance appele autorite de certification (CA, Certificate 
Authority). 

L' association d'un code a l'entite qui l'a cree et publie supprime l'anonymat de l'execution 
du code. Par ailleurs, l'association d'une signature numerique a un certificat de signature du 
code peut etre comparee a l'utilisation d'une marque pour etablir une relation de confiance 
et de fiabilite. Pourvus de ces informations, les utilisateurs de scripts et de fichiers de confi- 
guration PowerShell peuvent faire des choix en toute connaissance de cause sur l'execution 
d'un script ou le chargement de fichiers de configuration. En resume, c'est pour cela que la 
signature du code est importante pour la securite dans PowerShell. 

Obtenir un certificat de signature du code 

II existe deux manieres d'obtenir un certificat de signature du code : generer des certificats 
auto-signes et utiliser une autorite de certification dans une infrastructure a cles publiques 
(PKI, Public Key Infrastructure) valide. 

Un certificat auto-signe est plus simple et plus rapide a generer. II a egalement l'avantage 
d'etre gratuit. Cependant, aucun tiers n'en verifie l'authenticite, ce qui n'offre done pas le 
niveau de confiance attendue pour une signature de code. Par consequent, aucune autre entite 
ne fera par defaut confiance a votre certificat. Pour distribuer votre script ou votre fichier de 
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configuration PowerShell sur d'autres machines, votre certificat doit etre ajoute en tant 
qu'autorite principale de confiance et en tant qu'editeur approuve. 

Bien qu'il soit possible de modifier les elements approuves, il existe deux problemes. 
Premierement, les entites situees hors de votre zone d' influence peuvent decider de ne pas 
f aire confiance a votre certificat car rien ne leur permet de verifier votre identite. Deuxiemement, 
si la cle privee associee au certificat auto-signe vient a etre compromise ou invalide, il est 
impossible de gerer la validite du certificat chez les autres entites. A cause de ces inconve- 
nients, les certificats auto-signes ne doivent etre employes que sur une machine locale ou 
dans une phase de test. 

Si vous envisagez de signer numeriquement vos scripts et vos fichiers de configuration afin 
de les utiliser dans une entreprise ou de les rendre publics, vous devez choisir la seconde 
methode d'obtention d'un certificat de signature du code : une CA depuis une PKI valide. 
Une PKI valide peut etre une entreprise commerciale bien connue et digne de confiance, 
comme www.globalsign.net, www.thawte.com ou www.verisign.com, ou une infrastruc- 
ture interne qui appartient et qui est geree par votre societe. Si vous respectez quelques mises 
en garde, l'obtention d'un certificat de signature du code depuis une PKI externe peut etre 
rapide et simple. 

Tout d'abord, un certificat doit etre achete aupres du proprietaire de la PKI externe. Ensuite, 
puisque 1' achat du certificat se fait aupres de l'identite externe, cela signifie que vous 
placez une grande confiance dans l'integrite de cet organisme. C'est pourquoi les certifi- 
cats de signature du code acquis aupres de PKI commerciales doivent se limiter aux certi- 
ficats utilises pour signer des scripts et les fichiers de configuration destines a une 
distribution publique. 

De ce fait, une PKI interne doit etre utilisee pour les scripts et les fichiers de configuration 
reserves a un usage prive. N'oubliez pas que son deploiement et sa gestion demandent une 
organisation, des efforts et de 1' argent (les modules materiels de securite, les consultants en 
securite, etc., peuvent etre tres couteux). La plupart des entreprises ont tendance a eviter d'en 
mettre en place. Elles preferent installer des C A ad hoc, acheter des certificats aupres de PKI 
commerciales ou ignorer les besoins. Une PKI commerciale n'apportera peut-etre pas le 
niveau de confiance necessaire a votre entreprise et l'approche ad hoc est deconseillee car 
elle diminue le credit des certificats generes par des CA illegitimes, c'est-a-dire dont l'inte- 
grite n'est pas totalement garantie. Ne pas avoir de PKI valide risque de compliquer la distri- 
bution interne des fichiers signes numeriquement. Enfin, les entreprises qui ignorent les besoins 
en PKI illustrent un autre inconvenient de la mise en place d'une PKI interne : le temps. 
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Si votre entreprise ne possede pas sa PKI, l'obtention d'un certificat de signature du code 
peut demander beaucoup de temps. Cela ne se fait pas en une nuit. Si vous avez identifie 
un besoin de PKI pour vos scripts, vous en decouvrirez probablement d'autres au sein de 
votre societe. II faut d'abord les identifier et les etudier. La mise en place d'une PKI autour 
de vos besoins propres n'est pas la meilleure technique pour un service qui doit satisfaire 
les besoins de toute une entreprise. Apres avoir presente vos besoins de PKI, vous devrez 
sans doute attendre que les services soient operationnels. Cependant, une fois la PKI en 
place, vous pouvez obtenir des certificats de signature du code en sachant que l'infrastruc- 
ture prend totalement en charge la distribution de vos scripts et de vos fichiers de configu- 
ration PowerShell signes. 

Methode 1 : certificat auto-signe 

La creation d'un certificat auto-signe s'appuie sur l'utilitaire makecert fourni avec le kit de deve- 
loppement (SDK, Software Development Kit) pour .NET Framework. En voici les etapes : 

1. Telechargez la derniere version du Microsoft .NET Framework SDK a l'adresse http:// 
msdn2.microsoft.com/fr-fr/netframework/aa569263.aspx. Au moment de l'ecriture 
de ces lignes, il s'agit de la version 3.0. 

2. Installez le SDK sur la machine ou vous souhaitez generer le certificat auto-signe. 

3. Reperez l'emplacement de l'outil makecert sur votre systeme. Par defaut, il s'agit du 
repertoire C:\Program FilesVMicrosoft SDKs\Windows\v6.0. 

4. Ouvrez une invite de commande Windows et allez dans le repertoire de makecert a l'aide 



de la commande cd. 




5. Creez un certificat auto-signe : 




makecert -r -pe -n "CN=NomCommunAutoriteCertification" 
-e 01/01/2099 -eku 1.3.6.1.5.5.7.3.3 -SS My 


-b 01/01/2000 


Vous devez obtenir le resultat suivant : 


r 

C:\Program Files\Microsof t SDKs\Windows\v6.0>makecert -r 
de signature du code" -b 01/01/2000 -e 01/01/2099 -eku 1, 
Succeeded 


-pe -n "CN=Mon autorite 
.3.6.1.5.5.7.3.3 -SS My 
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6. Enfin, saisissez la commande PowerShell suivante pour verifier 1' installation du certificat : 



r 

PS C:\> get-childitem cert : \CurrentUser\My -codesign 





Directory : Microsoft . PowerShell .Security \ Certificate : 


: CurrentUser\My 


Thumbprint Subject 




944E910757A862B53DE3113249E12BCA9C7DD0DE CN=Mon autorite 


de signature du code 


PS C:\> 


*• 



Methode 2 : certificat signe par une CA 

Cette methode s'appuie sur l'obtention d'un certificat a partir d'une autorite de certification 
Microsoft Windows. Ces etapes supposent qu'une PKI a ete deployee dans votre entreprise. Si ce 
n'est pas le cas, l'installation des services de certificats Windows pour repondre a votre besoin 
immediat est deconseillee. Procedez comme suit pour obtenir un certificat de signature du code : 

1. Demandez a votre administrateur PKI de creer et d'activer un modele de certificat de 
signature du code pour vos scripts et vos fichiers de configuration PowerShell. 

2. A partir d'Internet Explorer, allez sur le site des services d'inscription Web de l'autorite 
decertificationaradressehttpsi/ZA^OJ/iServeMrCA/certsrvCenremplacantA^o/nServeMrCA 
par le nom de votre serveur). 

3. Cliquez sur le lien Demander un certificat. 

4. Sur la page Demander un certificat, cliquez sur le lien Demande de certificat avancee. 

5. Sur la page Demande de certificat avancee, cliquez sur le lien Creer et soumettre une 
demande de requete aupres de cette Autorite de certification. 

6. Dans la section Modele de certificat, selectionnez le certificat de signature du code cree 
par votre administrateur PKI. 

7. Saisissez les informations d'identification manquantes et les options de demande de 
certificat conformement a la strategie de votre entreprise. Vous pouvez utiliser la 
Figure 4. 1 comme aide. 

8. Cliquez sur le bouton Envoyer. 

9. Dans la boite de message Violation de script potentielle qui s'affiche (voir Figure 4.2), 
cliquez sur Oui pour continuer. 
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3 Services de certificate Microsoft - Microsoft Internet Explore 



Fichier Edition Affichage Favor is Outils 



O Precedente - Q ' [jj Lg] 



Favoris ^5 | 0 » 



, B 



:ertificals Microsoft - Mon autorite 



Demande de certificat avance 



Mo dele de certificat : 



| Signature du code PowerShell 
Informations d'identifi cation pour les modeles hors connexion : 



Nom 


|Sigrtature di 


code PowerShell 


Adresse de inessagerie 


|Richard.Sta 


rnan@goodcode corn 


Societe 


|Gocd Code 




Service 


||T 





Villa : 
Departement 



CA 



Pays/region : |US 
Options de la da : 



® Creer un nouveau jeu de cles O Utiliser un jeu de cles existent 
FuumissBur de aeivicea nT 7~- ', [ n i TTi I 

cryptographiques: 1 ir a r 

Utilisation de la cle : 



Taille de la cle 



Options supplementaires : 



Exchanga 

|1 024 M^ieas^ 3 '"" de commune : 1024204;;: 41:195 aisa- -if.?j4 > 

<* Nom de conteneur de cle automatique <~ Nom de conteneur de cles specific par 
I'ulilisateur 

B Marquer les cles comme etant exportables 

□ Exporter les cles vers un fichier 
1^ Activei 1; piutH.cliu'i r enforces par c e pr 



Format de la demande : ^ CMC <™ PKCS10 
Algorithme de hachage : |SHA-1 2I 



| [ [ I [ |»J Intranet local 



\ 



Figure 4. 1 

Exemple de demande 
de certificat de 
signature du code. 



Violation de script potentielle 



Ce site Web necessite in nouveau certificat de votre part, Vous ne devriez autoriser que les sites Web approuves a demander un 
certificat de votre part, 

Voulez-vous demander un certificat maintenant ? 



Figure 4.2 

Boite de message 
Violation de script 
potentielle. 



10. Ensuite, si necessaire, fixez le niveau de securite de la cle privee en fonction de la strate- 
gic mise en place dans votre entreprise (voir Figure 4.3), puis cliquez sur OK. 

11. Si la strategie de votre entreprise exige l'approbation d'un administrateur de certificats, 
demandez-lui d'approuver la demande que vous venez de soumettre. Sinon, passez 
directement a l'etape 16. 

12. Apres l'approbation de la demande de certificat, utilisez Internet Explorer pour acceder 
au site des services d'inscription Web de l'autorite de certification a l'adresse https:// 
NomServeurCA/certsrv (en remplacant NomServeurCA par le nom de votre serveur). 

13. Cliquez sur le lien Afficher le statut d'une requete de certificat en attente. 
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Creation d'une nouvelle cle d'echange RSA 




Une application cree actuellement un element protege. 



Cle privee DyptoAPI 



Niveau de securite defini a DOM le niveau de securite... 
Moyen 



□ K 



Detail:;: 



Figure 4.3 

BoJte de dialogue Creation 
d'une nouvelle cle d'echange RSA. 



14. Sur la page suivante, cliquez sur le lien de demande adequat. 

15. Sur la page Certificat emis, cliquez sur le lien Installer ce certificat. 

16. Dans la boite de message Violation de script potentielle qui s'affiche (voir Figure 4.4), 
cliquez sur Oui pour continuer. 



Ce site Web ajoute un ou plusieurs certificats a cet ordinateur. L'autorisation donnee a un site Web non approuve de mettre a jour 
vos certificate pose un risque de securite. Le site Web pounait installer des certificats que vous n'approuvez pas, ce qui permettrait a 
des programmes que vous n'approuvez pas de s'executer sur cet ordinateur et d'acceder a vos donnees. 

Voulez-vous que ce programme ajoute les certificats maintenant ? Cliquez sur Oui si vous faites confiance a ce site Web. Sinon, clique? 



Figure 4.4 

Boite de message Violation 
de script potentielle. 



17. Enfin, le site des services d'inscription Web de l'autorite de certification signale que le 
certificat a ete installe avec succes. Saisissez la commande PowerShell suivante pour 
verifier son installation : 



PS C:\> get-childitem cert : \CurrentUser\My -codesign 

Directory : Microsoft . PowerShell .Security \ Certificate : : CurrentUser\My 
Thumbprint Subject 

5CBCE25871 1 676061 836BC45C1 B4ACA6F6C7D09E E=Richard . Stallman@goodCOde . com , C . . . 
PS C:\> 
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L'outil d'importation de fichiers de certificats 

Lorsqu'un certificat numerique est genere, la cle privee est parfois enregistree dans un fichier 
PVK (Private Key) et le certificat numerique correspondant est place dans un fichier SPC 
(Software Publishing Certificate). Par exemple, si le certificat de signature du code a ete 
obtenu aupres de Verisign ou de Thawte, il est envoye au client sous la forme d'un fichier 
SPC et d'un fichier PVK. Si vous souhaitez employer ce certificat pour signer numerique - 
ment des scripts ou des fichiers de configuration PowerShell, vous devez importer les fichiers 
SPC et PVK dans votre magasin de certificats personnels. 




Un magasin de certificats est un emplacement sur votre ordinateur ou sur un peripherique 
dans lequel sont stockees les informations concernant les certificats. Sous Windows, vous 
pouvez utiliser la console MMC Autorite de certification pour afficher le magasin d'un utili- 
sateur, d'un ordinateur ou d'un service. Votre magasin de certificats personnels fait reference 
a votre propre magasin d'utilisateur. 



Pour importer la combinaison SPC+PVK, vous devez utiliser l'outil de Microsoft appele 
PVK Digital Certificate Files Importer. II est disponible sur le site de telechargement de 
Microsoft a 1' adresse www.microsoft.com/downloads/details.aspx?FamilyID=F9992C94- 
B129-46BC-B240-414BDFF679A7&displaylang=EN. 

Ensuite, saisissez la commande suivante pour importer les fichiers SPC et PVK, en indiquant 
vos propres fichiers : 



pvkimprt -IMPORT "moncertificat . spc" "macleprivee.pvk" 




Signer des scripts 

La signature d'un script PowerShell se fait al'aide de l'applet de commande Set -Authenti- 
codeSignature, qui attend deux parametres obligatoires. Le premier, filePath, est le chemin 
et le nom de fichier du script a signer numeriquement. Le second, certificate, designe le 
certificat X.509 utilise pour signer le script. Pour que le certificat X.509 soit dans un 
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format reconnu par Set -AuthenticodeSignature, nous devons l'obtenir par le biais de 
Get -Childltem : 



r 

PS C:\Scripts> set -authenticodesignature -filePath 
certificate @(get -childitem cert : \CurrentUser\My - 
includeChain "All" 


^ 

ScriptSigne.psI - 
codeSigningCert) [0] - 


Repertoire : C:\Scripts 




SignerCertificate Status 
661 BC0A2A1 1 850CEF4862F97D7335B40FCCCCF06 Valid 


Path 

ScriptSigne.psI 


PS C:\> 





Pour obtenir le certificat depuis votre propre magasin, vous devez utiliser 1' applet de commande 
Get - Childltem avec leparametre codeSigningCert. Ceparametre ne peut etre employe qu'avec 
le fournisseur Certificate et joue le role de filtre afin d'obliger Get -Childltem a ne recuperer 
que les certificats de signature du code. Enfin, pour etre certain que l'integralite de la chaine du 
certificat est incluse dans la signature numerique, le parametre includeChain est defini. 

Apres l'execution de l'applet de commande Set - AuthenticodeSignature, le fichier signe possede 
un bloc de signature valide qui contient la signature numerique. Un bloc de signature se trouve 
toujours a la fin du script ou du fichier de configuration PowerShell. II est facile a identifier car il 
est place entre les balises SIG # Begin signature block etSlG # End signature block: 

write-host ("Ce script est signe !") -Foregroundcolor Green 

# SIG # Begin signature block 

# MI IEGwYJKoZIhvcNAQcCoIIEDDCCBAgCAQExCzAJBgUrDgMCGgUAMGkGCisGAQQB 

# g j cCAQSgWzBZMDQGCisGAQQBgj cCAR4wJgIDAQAABBAf zDtgWUsITrck0sYpf vNR 

# AgEAAgEAAg EAAgEAAgEAMCEwCQYFKw4DAhoFAAQUSuRNU62C2nvVTbf /JyWBXqC6 

# puigggIyMIICLjCCAZegAwIBAgIQnewYWKhDlYdNnO6ciYQWBDANBgkqhkiG9w0B 

# AQQBgj cCARUwIwYJKoZIhvcNAQkEMRYEFA+YleMX8BYxLif 8zxiKQi5T1QR3MA0G 

# CSqGSIb3DQEBAQUABIGApcdFZz2vnLWFbFYIgs j FsCTgPgAgOCa7iAVsyXz+Z/ga 

# LwbgwtZpqIZhczQQ4UezAooaUPMkBMKhpJ2XITiFLgDDf8bAnPVxuxoLbm09iH8Z 

# weDJypYlMKe5ion5+S3Ahm3h92UnTk+kXav7m20bdLSw8x+R4yS2z2pL+0iGaX4= 

# SIG # End signature block 
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Ce processus de signature numerique des scripts s'applique egalement aux fichiers de confi- 
guration PowerShell. Comme nous I'avons explique au Chapitre 3, les fichiers de configura- 
tion, selon la strategie d'execution en place, peuvent egalement avoir besoin d'etre signes 
pour etre charges dans une session PowerShell. 



Verifier des signatures numeriques 

Pour verifier la signature d'un script ou d'un fichier de configuration PowerShell, nous devons 
utiliser l'applet de commande Get -AuthentiCodeSignature. Elle retourne un etat de validite, 
comme HashMismatch, qui indique l'existence ou non d'un probleme avec le fichier. 

Etat valide : 



r 

PS C:\Scripts> Get -AuthentiCodeSignature 


ScriptSigne . ps1 


^ 


Repertoire : C:\Scripts 






SignerCertificate 


Status 


Path 


661 BC0A2A1 1 850CEF4862F97D7335B40FCCCCF06 


Valid 


ScriptSigne. ps1 


PS C:\Scripts> . \ScriptSigne . ps1 
Ce script est signe! 
PS C:\Scripts> 







Etat invalide : 



PS C:\Scripts> Get -AuthentiCodeSignature ScriptSigne . ps1 

Repertoire : C:\Scripts 

SignerCertificate Status Path 

661 BC0A2A1 1 850CEF4862F97D7335B40FCCCCF06 HashMismatch ScriptSigne . ps1 
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PS C: \Scripts> . \ScriptSigne . ps1 

Impossible de charger le fichier C:\Scripts\ScriptSigne.ps1. Le contenu du fichier 
C:\Scripts\ScriptSigne.ps1 peut avoir ete falsifie, car le hachage du fichier 
ne correspond pas a celui qui figure dans la signature numerique. Le scriptne 
sera pas execute sur le systeme. Pour plus d 1 informations, consultez « get-help 
about_signing » . . 

Au niveau de ligne : 1 Caractere : 26 
+ C:\Scripts\ScriptSigne.ps1 «« 
PS C:\> 



D'apres l'erreur affichee par l'exemple precedent, le script a ete modifie, falsifie ou corrompu. 
S'il a ete modifie par son proprietaire, il doit etre a nouveau signe avant de pouvoir etre utilise. 
S'il a ete falsifie, il doit etre supprime car sa validite et son authenticite ne sont plus garanties. 

Distribuer du code signe 

Lorsqu'un script ou un fichier de configuration PowerShell signe est distribue, l'utilisateur doit 
determiner s'il peut faire confiance au code d'un editeur particulier. La premiere etape consiste 
a valider l'identite de l'editeur en fonction d'une chaine de confiance. Pour etablir celle-ci, 
l'utilisateur se sert du certificat de signature de code de l'editeur associe a la signature numeri- 
que et verifie que le proprietaire du certificat est l'editeur. Par exemple, la Figure 4.5 presente 
un chemin (ou chaine) de certification non interrompu et valide, a partir du certificat de l'edi- 
teur vers une autorite de certification racine approuvee.Lorsqu'une autorite de certification 
racine publique ou interne approuvee constitue 1' autorite principale de confiance du certificat 
de l'editeur, l'utilisateur fait explicitement confiance a l'identite de l'editeur. 

Si une autorite de certification racine est approuvee, le certificat de cette autorite se trouve 
dans le magasin Autorites de certification racines de confiance (voir Figure 4.6). 

Lorsqu'une autorite de certification racine n'est pas une autorite principale de confiance ou 
lorsque le certificat est auto-signe, l'utilisateur doit decider s'il peut faire confiance a l'iden- 
tite annoncee par l'editeur. Si c'est le cas, le certificat de l'autorite de certification racine ou 
le certificat auto-signe doit etre ajoute au magasin Autorites de certification racines de 
confiance pour etablir une chaine de confiance valide. 

Apres verification ou approbation de l'identite de l'editeur, l'etape suivante consiste a deci- 
der si l'execution du code signe est sure. Lorsqu'un utilisateur a deja valide la fiabilite de 
1' execution du code publie par l'editeur, le code (un script ou un fichier de configuration 
PowerShell) s'execute sans autre intervention. 
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General Details ! Chemin d'acces de certification 



'-hemm d'.aoiei de cer fihn dt:or i 




Etat du certificat : 



Ce certificat est valide. 



Figure 4.5 

Le chemin de certification. 
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i magasin Autorites de certification racines de confiance contient 119 certificats. 



Figure 4.6 

Magasin de certificats Autorites de certification racines de confiance. 



Si un editeur est approuve, son certificat de signature du code reside dans le magasin Editeurs 
approuves (voir Figure 4.7). 
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ictuelVEditeurs approuve'sVCertificats] 




^ Fichier Action Affichage Favoris Fenetre 



ole\Cerlificats - Utilisate 



i 



» ■» B|m b ® m if 



Racine de la console 
■- [fp Certificate - Utilisateur actuel 
El CU Personnel 

+] CJ Autorites de cerfification recines de ci 

El ^ Confiance de I'entreprise 

!+l Cj Autorites inter rnedi aires 

El C] Ob]et utilisateur Active Directory 

"-; Cj Edit eurs appro uves 

El LJ Certificats non autorises 

El CJ Autorites de certification racines de o 

El Cj Personnes autorisees 

EJ C] Autres personnes 

El CJ Moi 

B C] Demandes d'inscription de certificat 



[^Microsoft Corporation MSN VeriSign Commercial Software Publis... 23/03/2001 

[^Microsoft Corporation MSN Microsoft Code Signing PC A 29/06/2002 

QMkrascft Corporation MSN (Europe) VeriSign Commercial Software Publis... 07/06/2001 

Microsoft Corporation MSN (Europe) Microsoft Code Signing PC A 29/06/2002 



Deli-re a 



C'elivre par 



[>ate d'e.-.piratr.nn Roles p-evus 



<Tout> <Aucun> 

Signal n - du code <Aucun> 

<Tout> <Aucun> 

I'lignatui e du code <Aucun> 



Le magasin Editeurs approuves contient 4 certificats. 



Figure 4.7 

Magasin de certificats Editeurs approuves. 



Si un editeur n'est pas approuve, PowerShell demande a l'utilisateur de choisir si le code 
signe peut etre execute : 



PS C: \Scripts> . \ScriptSigne . ps1 

Voulez-vous executer le logiciel de cet editeur non approuve ? 

Le fichier C:\Scripts\ScriptSigne.ps1 est publie par CN=companyabc.com, 0U=IT, 

0=companyabc.com, L=0akland, S=Calif ornia, C=US et n'est pas approuve sur 
votre systeme. N'executez que des scripts provenant d 1 editeurs approuves. 

[M] Ne jamais executer [N] Ne pas executer [0] Executer une fois 

[T] Toujours executer[?] Aide (la valeur par defaut est « N ») : 



Voici la signification des options disponibles : 

■ [M] Ne jamais executer. Cette option place le certificat de l'editeur dans le magasin 
Certificats non autorises. Lorsque le certificat d'un editeur a ete declare non digne de 
confiance, PowerShell interdit a tout jamais l'execution du code provenant de cet editeur, 
sauf si le certificat est retire du magasin Certificats non autorises ou si la strategie d' exe- 
cution est fixee a Unrestricted ou a RemoteSigned. 

■ [N] Ne pas executer. Cette option, par defaut, interrompt l'execution du code non 
approuve. 
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■ [O] Executer unefois. Cette option autorise une seule execution du code non approuve. 

■ [T] Toujours executer. Cette option place le certificat de l'editeur dans le magasin Editeurs 
approuves. Par ailleurs, le certificat de l'autorite de certification racine est place dans le 
magasin Autorites de certification racines de confiance, s'il ne s'y trouve pas deja. 

Distribuer du code dans I'entreprise 

Vous vous demandez peut-etre comment controler le code qui peut etre approuve dans votre 
entreprise. Si le choix du code approuve est laisse aux utilisateurs ou aux machines, la distri- 
bution du code signe dans un environnement gere est contrariee. Si votre environnement est 
gere, la mise en oeuvre de votre PKI doit offrir des methodes permettant de maitriser ce qui 
est digne de confiance dans une entreprise. Si votre societe se trouve dans un environnement 
Windows, la methode classique passe par un GPO. Par exemple, vous pouvez definir des 
editeurs approuves en utilisant une liste de certificats de confiance (CTL, Certificate Trust 
List) ou au travers de 1' extension Maintenance d' Internet Explorer. 

Distribuer du code dans le domaine public 

Determiner la confiance dans le domaine public est totalement different. Lorsqu'on etablit 
une confiance entre deux entites privees, elles sont en mesure de definir ce qui est digne de 
confiance ou non. Lorsque des entites publiques interviennent, ce niveau de controle n'existe 
pas. C'est a ces entites publiques de determiner ce a quoi elles accordent leur confiance. 

En resume 

Ce chapitre a presente en detail la signature du code. Avec ce que vous avez appris, vous 
devez a present comprendre 1' importance de la signature du code dans la securite de 
PowerShell et comment vous en servir. Si vous n'avez pas encore assimile cet imperatif, 
nous repetons que la signature du code doit etre comprise et utilisee dans le developpement 
de vos scripts. 

Vous devez egalement mieux comprendre 1' infrastructure requise pour que la signature du 
code constitue une methode viable pour accorder sa confiance a du code dans une entreprise. 
Merae si la PKI n'est pas simple a maitriser, l'un des premiers objectifs de ce chapitre etait 
de la presenter du point de vue de l'ecriture des scripts - cette option a ete choisie afin que 
vous ne soyez pas trop deroute et qu'elle soit associee a son utilisation dans PowerShell. 
Grace a ces connaissances, vous devez a present etre capable de determiner, ou tout au moins 
d'indiquer, un besoin de PKI et d'orienter un projet de maniere que les scripts que vous deve- 
loppez puissent etre approuves dans votre entreprise. 
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Dans ce chapitre 

■ Introduction 

■ Developper des scripts 

■ Concevoir des scripts 

■ Securiser des scripts 

■ Utiliser les standards d'ecriture 

Introduction 

II existe de nombreux guides pour apprendre les bonnes pratiques de developpement des 
scripts. Le plus souvent, ils traitent d'un langage specinque, de concepts generaux ou meme 
des preferences d'un developpeur. Quel que soit le type de guide consulte, l'objectif reste 
toujours 1' amelioration de la maniere d'ecrire des scripts. 

Ce chapitre propose quelques methodes de programmation de scripts fondees sur une expe- 
rience de developpement de logiciels. Le developpement de scripts est analogue a celui de 
logiciels car ces deux activites impliquent l'ecriture de code de maniere sensee. Par ailleurs, 
de nombreux aspects d'un projet de developpement logiciel s'appliquent egalement aux 
projets de scripts. Les bonnes pratiques du developpement de logiciels constituent de bonnes 
bases a 1' amelioration des scripts. 
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Developper des scripts 

Les sections suivantes decrivent les pratiques a suivre pour le developpement general de 
scripts. Nous vous conseillons fortement de les suivre, tout au moins en partie, lors de vos 
developpements. Ainsi, vous constaterez que vos scripts commencent a satisfaire aux exigences 
d'un projet, demandent moins de temps de developpement et presentent moins de problemes 
de deploiement. 

Considerer le developpement de scripts comme de veritables projets 

La mise en oeuvre d'un script peut demander autant d'efforts que n'importe quel projet de 
developpement logiciel. Par exemple, il ne faut pas oublier les phases de prototypage et de 
test ann d'eviter un impact negatif sur l'environnement. Par consequent, lors de l'ecriture 
d'un script, la portee de ses effets doit etre verifiee. S'il est complexe, si son temps d'execution 
est superieur a quelques minutes, s'il implique d'autres ressources que son developpeur 
(comme d'autres personnes) ou si son execution montre un niveau de risque eleve, il est 
preferable de transformer l'ecriture du script en un reel projet de developpement. 

Mettre en place un cycle de developpement 

Comme pour tout projet logiciel, un modele du cycle de developpement correspondant aux 
besoins du script doit etre mis en place. Les modeles vont du traditionnel modele en cascade 
aux plus recents, comme les methodes agiles, 1' Extreme Programming (XP), le cycle en 
spirale, le cycle iteratif, etc. Cependant, le choix n'est pas aussi important que la definition 
d'un processus formel de gestion des projets de scripts. 

Si les modeles mentionnes semblent trop complexes pour un projet de scripts, la Figure 5.1 
presente une suite d'etapes simples concues pour le developpement de scripts. 

Bien qu'elles soient comparables a un modele integral de cycle de developpement, ces etapes 
ne sont que des references vers des taches qui doivent etre accomplies. Vous pouvez suivre 
ce modele ou developper le voire, mais 1' important est d'etablir une methode de gestion des 
projets de scripts. 

Concevoir et prototyper les scripts avec du pseudo-code 

La conception et le prototypage d'un script avec pseudo-code ont pour objectif de deve- 
lopper la structure et la logique du script avant d'ecrire ne serait-ce qu'une seule ligne 
de code. De cette maniere, il est plus facile de s' assurer que le script repond aux exigen- 
ces et de detecter les problemes de logique des le debut du processus de developpement. 
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Par ailleurs, le pseudo-code permet de s'affranchir du langage et peut etre ecrit de maniere 
que d'autres personnes, en particulier celles qui doivent commenter la conception de scripts, 
puissent le lire et le comprendre facilement. En voici un exemple : 



Param domaine 

Param fichier CSV de comptes de ressources 

Se lier au domaine 

Ouvrir et lire le fichier CSV 



Pour chaque compte de ressource dans le fichier CSV: 

- creer un nouveau compte dans l'UO indiquee ; 

- fixer le mot de passe (14 caracteres generes aleatoirement) ; 

- journaliser le mot de passe dans l'archive des mots de passe ; 

- fixer les attributs du compte d ' utilisateurs en fonction des 
informations donnees par le fichier CSV ; 

- activer le courrier electronique sur le compte ; 

- ajouter 1 1 utilisateur au groupe adequat en fonction des informations 
donnees par le fichier CSV. 

Suivant 





Analyse 


> 






Conception 


> 






Architecture 



Phases cycliques 



Phases cycliques 




Retour au 
developpement 



Test 



Maintenance 



Figure 5. 1 

Les etapes d'un 
projet de script 
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Rassembler efficacement les contraintes du script 

Comme pour n'importe quel projet, il faut definir les problemes resolus par le script afin de 
determiner ce qu'il doit realiser. Parfois, un script doit juste satisfaire un simple besoin 
d' automation et ses contraintes sont alors faciles a cerner. Lorsqu'il doit resoudre des proble- 
mes d'automation plus complexes, il peut etre necessaire d'en savoir plus sur les processus 
metiers a automatiser pour pouvoir determiner les contraintes. Dans tous les cas, identifier 
les exigences d'un script et demander a tous les participants de les approuver constitue un 
element essentiel du succes du projet. Si ces etapes du processus de developpement sont 
sous-estimees, le script final risque de ne pas repondre aux besoins et de ne pas etre retenu 
comme une solution au probleme initial. 

Ne pas developper des scripts dans un environnement de production 

La plupart des scripts apportent des changements au systeme. II est done possible que l'exe- 
cution d'un script dans un environnement de production occasionne des degats inattendus. 
Meme si le script n'effectue aucune modification, il peut avoir des effets indesirables ou ses 
implications peuvent ne pas etre totalement maitrisees. Pire encore, lorsqu'il est execute afin 
de verifier son fonctionnement, s'il n'est pas lance dans 1' environnement de test defini, il 
peut affecter des systemes en production. Par consequent, les scripts ne doivent jamais etre 
developpes dans un environnement de production. 

Tester, tester et tester 

Les scripts ont generalement pour objectif une forme d'automation, comme modifier un 
attribut pour chaque utilisateur d'un domaine Active Directory. La tache d'automation peut 
avoir un impact eleve ou faible, mais il est indispensable de realiser un test de qualite du code 
avant de le placer dans un environnement de production. Les scripts doivent etre testes cons- 
ciencieusement car ils peuvent avoir un effet sur 1' environnement. 

Ecrire des scripts professionnels 

De nombreux developpeurs ont tendance a considerer les scripts comme une solution rapide 
et facile pour effectuer des taches et ne voient pas la necessite d'une methodologie profession- 
nelle impliquant planification, documentation et norme. Cette mentalite vient de l'epoque ou 
l'ecriture de scripts etait consideree comme une tache reservee aux programmeurs UNDC et 
Linux. Cette vision est en train de changer, avec la sortie de PowerShell. La ligne de commande, 
les scripts et 1' automation deviennent les bases sur lesquelles les administrateurs de systemes 
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Windows fondent la gestion de leurs environnements. Grace a cette evolution, la souplesse 
et la puissance brute des scripts sont de plus en plus considerees comme une solution aux 
besoins d' automation et leur developpement doit done se faire avec professionnalisme. 

Pour creer des scripts professionnels, le travail accompli doit satisfaire un certain niveau de 
qualite. Cela implique de developper des standards pour tous les scripts, d'ecrire une docu- 
mentation claire et concise, de respecter les bonnes pratiques en termes de planification et 
d'organisation, d'effectuer des tests consciencieux, etc. Une adhesion aux standards profes- 
sionnels permet egalement de s' assurer que les autres intervenants du projet seront bien 
disposes quant a l'acceptation du travail. 

Concevoir des scripts 

Les sections suivantes proposent de bonnes pratiques pour la conception de scripts PowerShell. 
Le terme "conception" est employe de maniere assez souple car l'objectif est d'entrer dans 
les aspects de la conception qui doivent ou ne doivent pas etre retenus lors de l'ecriture d'un 
script PowerShell. Par exemple, les informations fournies au script doivent etre validees. 
Une fois encore, nous vous recommandons fortement d'appliquer, sous une forme ou sous 
une autre, les pratiques donnees dans ces sections. En les respectant, les scripts seront plus 
lisibles, plus utilisables, plus robustes et moins bogues. 

Ajouter des informations de configuration au debut du script 

Les variables ou les parametres qui definissent la configuration du script doivent toujours 
etre places au debut. Ainsi, toute personne qui utilise, lit ou modifie le script pourra les 
retrouver tres simplement. Par exemple : 

# 

# Definir les variables. 
# 

$Proprietaire = "Administrateurs" 
$Cibles = import-csv $FichierImport 

# 

# Corps du script. 

# 
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Cette pratique permet egalement de reduire les erreurs dues a la modification de la configu- 
ration du script. Si les informations de configuration sont reparties dans tout le script, il 
risque d'etre mal configure, de contenir des doublons ou des oublis. 

Utiliser les commentaires 

Rien ne garantit que les utilisateurs comprendront immediatement la logique du script ou 
seront familiers des methodes employees pour realiser certaines taches. Par consequent, 
des commentaires doivent les aider a comprendre le fonctionnement du script, mais, en 
aucun cas, ils ne doivent ressembler a un roman. En revanche, ils doivent apporter suffi- 
samment d'informations pour que la logique du script apparaisse clairement. Par ailleurs, 
si le script inclut une methode, une classe ou une fonction complexe, un commentaire doit 
l'expliquer. Les commentaires ont egalement pour avantage de faciliter le retour sur un 
script ou sa mise a jour. L'exemple suivant montre comment des commentaires apportent 
des informations utiles : 



# 






# Add -DACL 

# 




# Usage : 


Accorder des droits a un dossier ou un fichier. 




# $0bject : 


Le chemin du dossier ou du fichier ("c:\monDossier" 


ou 


# 


"c: \monFichier.txt" ) . 




# $Identity : 


Norn d ' utilisateur ou de groupe ( "Administrateurs" 


ou 


# 


"monDomaine\utilisateur1 " ) . 




# $AccessMask : 


Les droits a utiliser pour la creation de la regie 


d 1 acces 


# 


( "FullControl" , "ReadAndExecute, Write", etc.). 




# $Type : 


Accorder ou refuser les droits ("Allow" ou "Deny") 











Eviter de figer des informations de configuration 

Figer des informations de configuration dans le code est une erreur classique. Les informa- 
tions requises ne sont pas demandees aux utilisateurs, elles sont figees dans des variables ou 
reparties aleatoirement dans le script. Cette methode impose aux utilisateurs d'intervenir 
manuellement dans les scripts pour en modifier la configuration. Cela augmente done les 
risques d'erreurs et des problemes d'execution. N'oubliez pas que l'un des objectifs est de 
fournir des scripts utilisables. Les informations figees dans le code ne permettent pas d'utili- 
ser facilement un script dans des environnements differents. Nous vous conseillons d'utiliser 
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des parametres ou des fichiers de configuration, comme le montre l'exemple suivant, afin que 
les utilisateurs puissent configurer plus aisement le script. 

param( [string] $CheminRechercheADSI=$ (throw "Veuillez indiquer le chemin ADSI ! ")) 

Si necessaire, utiliser des variables 

Si les informations de configuration ne doivent pas etre figees dans le script, elles doivent 
cependant etre representees par des variables. Le fait de definir une information dans une 
variable en un seul endroit, au lieu de la placer en plusieurs endroits du script, reduit les 
risques d'introduire des erreurs lors de la modification de cette information. Par ailleurs, le 
regroupement des informations de configuration en un meme endroit, en particulier au debut 
du script, diminue egalement le temps necessaire a la reconfiguration d'un script pour des 
environnements differents. 

Donner des instructions 

La plupart des scripts sont ecrits par une personne mais utilises par une autre, un administra- 
teur, tres souvent, qui ne maitrise pas le code et les interfaces en ligne de commande. 
Autrement dit, les scripts doivent etre aussi utilisables qu'utiles. Si vous ne fournissez aucune 
instruction pour que meme le debutant puisse lancer le script et comprendre son role, vous 
n'etes pas un veritable developpeur de scripts. 

II n'est pas rare de rencontrer des scripts sans explications, avec des instructions incorrectes 
ou tres peu d' explications de son objectif. Cela est generalement frustrant pour les utilisa- 
teurs, qui peuvent n'avoir aucune idee de l'impact des scripts sur leur environnement et les 
executer, ce qui peut conduire a des desastres. 

L'exemple suivant comprend des instructions a inclure dans un fichier qui documente 
1' objectif et le fonctionnement du script : 



Informations sur le script. 

Nom : AddProxyAddress . ps1 
Auteur : Tyson Kopczynski 
Date : 6/02/2006 
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Description : 

Ce script permet ajouter des adresses de proxy secondaires aux utilisateurs, 
conf ormement au fichier CSV importe. Avant d' ajouter ces adresses, il verifie 
les conditions suivantes : 

L'utilisateur existe-t-il ? 

Dispose-t-il de courrier electronique ? 

L'adresse du proxy existe-t-elle deja ? 

Ce script cree un journal a chacune de ses executions. 

Format du fichier CSV : 

[ NomCompteSAM] , [AdressesProxy ] 

tyson, tyson@cco . com; tyson@taosage . net 

maiko , maiko@cco . com 

bob, bob@cco.com 

erica, erica@cco . com 

Pour placer plusieurs adresses de proxy dans la colonne AdressesProxy, 
utilisez le caractere ; comme separateur. 



Valider les parametres requis 

Une erreur classique consiste a ne pas valider les parametres requis. Si le script demande a 
l'utilisateur de saisir des informations, l'absence de cette verification peut l'empecher de 
fournir une entree invalide et le script risque de s'arreter avec une erreur. Pour les petits 
scripts, cet oubli ne constituera sans doute pas un probleme, mais il risque d'affecter serieu- 
sement la simplicite d'utilisation des longs scripts complexes. 

Supposons que le script gere un inventaire de logiciels. Dans un environnement de develop- 
pement constitue de quelques machines, nous executons le script, mais sans fournir refor- 
mation correcte pour un parametre obligatoire. II s' execute et echoue quelques secondes plus 
tard. Nous comprenons notre erreur, la corrigeons et relancons le script. 

Ensuite, sur des milliers de machines, l'administrateur systeme lance le script, lequel 
s'execute pendant six heures puis echoue. En consultant les informations d'erreur, l'admi- 
nistrateur decouvre que le script s'est arrete a cause d'un parametre mal saisi. II vient de 
depenser six heures de son temps uniquement pour rencontrer une erreur. II risque de 
conclure que le script n'est pas utilisable. Autrement dit, le script fonctionne dans notre 
environnement mais pas dans celui de l'administrateur. 
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Pour eviter ce probleme, tous les parametres requis doivent etre valides, comme le montre 
l'exemple suivant : 



param( [string] $CheminModele = $(throw write-host 

"Veuillez preciser le chemin du modele source de la structure de dossiers" 
"a copier." -Foregroundcolor Red), [string] $FichierImport = $(throw 
write-host "Veuillez preciser le nom du fichier CSV a importer." 
-Foregroundcolor Red)) 



write-host "Verification du chemin du modele" -NoNewLine 



if (! (test -path $CheminModele) ) { 

throw write-host 't "$CheminModele n'est pas un dossier valide !" 
-Foregroundcolor Red 

} 

else { 

write-host 't "[OK]" -Foregroundcolor Green 
} 

write-host "Verification du fichier d ' importation" -NoNewLine 
if (! (test-path $FichierImport) ) { 

throw write-host "t "$FichierImport n'est pas un fichier valide !" 
-Foregroundcolor Red 
} 

else { 

write-host 't "[OK]" -Foregroundcolor Green 
} 



Ecrire des scripts et des fonctions reutilisables 

Si vous avez passe du temps a developper une fonctionnalite sophistiquee, vous devez aussi 
la rendre reutilisable. Un jeu de scripts ou de fonctions commun permet de gagner du temps 
lors de l'ecriture de nouveaux scripts. Supposons, par exemple, que nous ayons ecrit dans un 
script une logique d' analyse du contenu d'un fichier CSV afin de creer un tableau HTML. Au 
lieu de copier et de modifier cette logique dans de nouveaux scripts, il est preferable de creer 
un script ou un fichier de bibliotheque qui la met en oeuvre de maniere a la reutiliser dans un 
autre script. 
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La reutilisabilite est une bonne pratique importante. Dans PowerShell, le concept de reutili- 
sabilite prend tout son sens car les fichiers de scripts et de bibliotheque sont faciles a impor- 
ter, en invoquant du code reutilisable depuis une console PowerShell ou en chargeant le 
fichier de script ou de bibliotheque a l'aide de 1' instruction point. L'exemple suivant montre 
une suite de fichiers de scripts appeles depuis la console PowerShell au sein d'un pipeline. 



PS C:\> . \get-utilisateursinvalides.ps1 mondomaine.fr | . \sortie -html . ps1 
.\sortie-ie.ps1 



Choisir des noms descriptifs a la place des alias 

L' utilisation des alias dans PowerShell permet de gagner du temps, mais les scripts sont alors 
plus difficiles a lire. Le langage de PowerShell est concu pour rester simple a ecrire et a lire, 
mais les conventions de nommage de chacun et l'emploi des alias ont un effet sur la lisibilite. 
Pour garantir la bonne lisibilite du code, il est preferable de suivre des conventions de 
nommage coherentes et de remplacer les alias par des noms descriptifs. 

En produisant du code lisible, les utilisateurs comprendront plus facilement le script et les 
mises a jour et les modifications futures seront simplifiees. Si vous respectez des conventions 
de nommage coherentes et evitez des alias, la modification du script doit etre un jeu d' enfant. 

Afficher des informations d'etat 

Dans un script d'automation, il est important d'afficher des informations d'etat afin que les 
utilisateurs suivent la progression du script et sachent quelles taches ont ete accomplies avec 
succes. Ces informations permettent egalement aux utilisateurs de connaitre les erreurs qui se 
sont produites et peuvent meme indiquer une estimation de l'heure de terminaison du script. 

Pour fournir ces informations aux utilisateurs, nous pouvons nous servir de la console, 
comme le montre la Figure 5.2, avec les applets de commande Write -Host et Write -Progress, 
les ecrire dans un journal ou utiliser les classes Windows Forms. 

— Info 

Quelle que soit la methode employee, I'idee est de fournir suffisamment d'informations 
d'etat sans noyer les utilisateurs sous des details inutiles. S'il faut differents niveaux de details 
des informations, utilisez les applets de commande Write -Verbose et Write -Debug, les para- 
metres Verbose et Debug ou un affichage personnalise. 
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T C:\WINDOWS\system32\WindowsPowerShellW1.0\PowerShell.exe BEE 

PS C:\Scripts> C:\Scripts\ProyisionUebFolders.psl \tenplate .Nusers.csu ! 



Proy isionwebFolders 



Uerif ication du chemin des modeles [OK] 
Uerif ication du fichier importe [OK] 

Creation des dossiers web : 
D : \Uork\WWWsMyson 
Dossier [C0P1E] 

SetOuner pour Administrateurs [OK] 
AddACE pour Administrateurs [OK] 
Clearlnherit [OK] 
flddflCE pour SYSTEM [OK] 
AddACE pour Tyson [OK] 

D:sUork\WWUsSMaiko 
Dossier [C0P1E] 

SetOwner pour Adpiinistrateurs [OK] 
AddACE pour Admin istrateurs [OK] 
Clearlnherit [OK] 
AddACE pour SVSTEM [OK] 
AddACE pour Maiko [OX] 

D : SUorkSWWUsSGarett 
Dossier [C0P1E] 

SetOwner pour Admin is t rat ears [OK] 
AddACE pour Admin is trateurs [OK] 
Clearlnherit [OK] 
AddACE pour SVSTEM [OK] 
AddACE pour Garett [OK] 

D : SHorkSWUUsSFu j io 
Dossier [COP1E] 

SetOuner pour Adninistrateurs [OK] 
AddACE pour Admin istrateurs [OK] 
Clearlnherit [OK] 
AddACE pour SVSTEM [OK] 
AddACE pour Fujio [OK] 

D : NHorkSUUWsSKiyomi 
Dossier [C0P1E] 

SetOuner pour Adninistrateurs [OK] 
AddACE pour Admin istrateurs [OK] 
Clearlnherit [OK] 
AddACE pour SVSTEM [OK] 
AddACE pour Kiyomi [OK] 

Ternine : les dossiers ueb ont ete crees 

PS C:\Scripts> 



Figure 5.2 

Exemple d'affichage d'informations d'etat 



Utiliser les parametres Whatlf et Confirm 

Comme nous l'avons explique au Chapitre 2, "Les fondamentaux de PowerShell", deux 
parametres d' applet de commande permettent aux auteurs de scripts et aux administrateurs 
systeme d'eviter des modifications non voulues. Le parametre Whatlf retourne des informa- 
tions sur les modifications qui seront effectuees par 1' applet de commande, mais sans les 
appliquer reellement : 



PS C:\> get-process expl* ] stop-process -Whatlf 

Whatlf: Operation « Stop-Process » en cours sur la cible « explorer (2172) ». 



136 Partie 1 



Introduction a PowerShell 



Dans cet exemple, l'objet de processus retourne par Get -Process correspond a explorer, 
exe. Normalement, si un objet de processus est envoye a l'applet de commande Stop - Process, 
le processus correspondant est arrete. Cependant, lorsque le parametre What If est passe a 
l'applet Stop -Process, la commande retourne des informations sur les changements qui se 
seraient produits si elle avait ete reellement executee. Par exemple, supposons que nous 
saisissions la commande suivante : 

— Attention 

N'executez pas la commande suivante. II s'agit d'un exemple qu'il ne faut pas suivre. 



PS C:\> get-process | stop-process 



Sans le parametre whatlf, cette commande arreterait la console PowerShell, ainsi que le 
systeme. Parce que Whatlf a ete ajoute, les informations affichees permettent de comprendre 
que la commande va conduire au dysfonctionnement du systeme : 



PS C:\> get-process | stop-process -Whatlf 

Whatlf: Operation « Stop-Process » en cours sur la cible « alg (1048) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « ati2evxx (1400) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « ati2evxx (1696) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « atiptaxx (3644) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « BTSTAC-1 (2812) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « BTTray (3556) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « btwdins (1652) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « csrss (1116) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « ctfmon (1992) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « eabservr (3740) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « explorer (2172) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « googletalk (1888) ». 

Whatlf: Operation « Stop-Process » en cours sur la cible « GoogleToolbarNotifie 
(2236) ». 
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Le parametre Confirm evite les modifications inattendues en obligeant PowerShell a consulter 
l'utilisateur avant d'effectuer tout changement : 



r 

PS C:\> get-process expl* ] stop-process -confirm 





Confirmer 




Etes-vous sur de vouloir effectuer cette action ? 




Operation « Stop-Process » en cours sur la cible < 


< explorer (2172) ». 


[0] Oui [T] Oui pour tout [N] Non [U] Non pour 


tout [S] Suspendre 


[?] Aide(la valeur par defaut est « 0 ») : 





Les bonnes pratiques recommandent d'utiliser les parametres Whatlf et Confirm des que 
possible afin d' identifier les changements potentiellement dangereux et de donner aux utili- 
sateurs la possibility d'interrompre la commande. 




Les parametres Whatlf et Confirm ne sont reconnus que par les applets de commande qui 
effectuent des modifications. 



Securiser des scripts 

La securite reste souvent un element qui n'est pas pris en compte pendant le developpement 
d'un logiciel. C'est aussi le cas lors de l'ecriture de scripts. Cependant, la prise en charge de 
la securite dans les scripts fait partie de la liste des bonnes pratiques. C'est pourquoi les trois 
sections a venir, qui traitent de la securite des scripts PowerShell, sont peut-etre les plus 
importantes de ce chapitre. 

Signer numeriquement les scripts et les fichiers de configuration 

Comme nous l'avons souligne au Chapitre 4, "Signer du code", les scripts et les fichiers de 
configuration PowerShell doivent toujours etre signes numeriquement pour que les utilisa- 
teurs et les machines cibles connaissent l'origine du code et sachent qu'il n'est pas corrompu. 
En adherant a cette pratique, vous pouvez conserver une strategie d'execution AllSigned sur 
toutes les machines de votre entreprise, y compris la votre. 
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La signature du code ne concerne pas exclusivement les scripts et les fichiers de configuration 
PowerShell. Les memes principes s'appliquent a d'autres elements, comme les fichiers execu- 
tables, les macros, les DLL, d'autres scripts, les pilotes de peripheriques, les images de micro- 
logiciel et ainsi de suite. Tout code peut beneficier de la securite des signatures numeriques 
et vous pouvez ainsi limiter les possibilites d'execution d'un code illegitime dans votre envi- 
ronnement. 



Ne jamais fixer les strategies d'execution a Unrestricted 

Fixer la strategie d'execution a Unrestricted revient a accepter l'execution d'un code 
malveillant sur le systeme. Etant donne ce risque, la strategie d'execution doit au moins etre 
fixee a RemoteSigned. Cette configuration autorise l'execution des scripts et le chargement 
des fichiers de configuration crees localement sur la machine, mais empeche celle de tout 
code distant non signe et non approuve. Cependant, elle n'est pas a toute epreuve et pourrait 
autoriser PowerShell a executer certains codes distants. 

Le respect des conseils et la maitrise du processus de signature du code sont essentiels a la 
protection de l'environnement PowerShell. Choisir la strategie d'execution AUSigned accroit 
la securite car tous les scripts et tous les fichiers de configuration doivent alors etre signes par 
une source de confiance avant de pouvoir etre executes ou charges. 

Executer les scripts avec les droits minimaux 

Les bonnes pratiques de securite incluent le principe des privileges moindres. lis garantissent 
que les entires, comme les utilisateurs, les processus et les logiciels, ne recoivent que les 
droits minimaux necessaires pour effectuer une operation legitime. Par exemple, si un utili- 
sateur n'a pas besoin des droits d' administration pour lancer un logiciel de traitement de 
texte, il n'y a aucune raison de les lui accorder. 

Le principe des privileges moindres s'applique egalement aux scripts. Lors du developpe- 
ment d'un script, il faut essayer d'ecrire le code de maniere que son execution exige des 
droits minimaux. Par ailleurs, il est indispensable d'expliquer les droits requis afin que les 
utilisateurs agissent en connaissance de cause. Sinon, ils risquent de lancer l'execution d'un 
script avec des droits d' administration, ce qui augmente les possibilites de dommages infli- 
ges a l'environnement. 
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Utiliser les standards d'ecriture 

Comme pour le developpement de logiciels, l'ecriture des scripts doit inclure une forme de 
standardisation. Le terme "standardisation" ne signifie pas ici une norme, comme celles redi- 
gees par 1'ISO {International Organization for Standardization) ou 1'IEEE {Institute of 
Electrical and Electronics Engineers). Nous faisons reference a l'usage de methodes cohe- 
rentes pour le nom, l'organisation et la structure des scripts, pour leur fonctionnement et pour 
leur traitement des erreurs. En standardisant ces aspects, nous assurons une certaine cohe- 
rence dans l'interaction avec nos scripts, leur depannage et leur utilisation. 

La lisibilite d'un script peut etre amelioree si vous utilisez des conventions de nommage 
coherentes entre les scripts et au sein meme des scripts. Repondant a une organisation stan- 
dard, ils deviennent plus faciles a lire, a depanner ou a modifier. Cette standardisation permet 
egalement de reduire le temps de developpement de nouveaux scripts. Par exemple, nous 
pouvons creer des structures standard pour le traitement des erreurs, la creation de journaux 
et la mise en forme des sorties, puis les reutiliser tres simplement. 

Standards d'ecriture employes dans ce livre 

Les chapitres suivants de cet ouvrage se concentrent sur des exemples de scripts PowerShell. 
Ces scripts operationnels sont tires de projets reels repondant a des besoins d'entreprises. Nous 
presenterons leur code source au cours des chapitres a venir, mais il est egalement disponi- 
ble sur la page Web consacree a cet ouvrage a l'adresse http://www.pearsoneducation.fr. 
L archive proposee contient les scripts de chaque chapitre, repartis dans des sous-dossiers 2 . 

Pour resoudre quelques problemes de standardisation, nous avons fait des choix de presen- 
tation des scripts dans cet ouvrage. Premierement, ils se limitent aux langages PowerShell et 
VBScript, afin de reduire la complexite inherente a l'utilisation de differents langages. 
Deuxiemement, les scripts VBScript sont places dans un fichier WSF {Windows Scripting 
File). Troisiemement, chacun des scripts PowerShell et VBScript respecte une structure 
commune facile a comprendre. Les Figures 5.3 et 5.4 presentent des exemples de structures 
employees dans ce livre. 



2. N.d.T : Les commentaires et les messages affiches par les scripts etudies dans ce livre ont ete traduits afin 
d'en faciliter la comprehension. Cependant, le code source disponible dans 1'archive telechargeable est reste en 
anglais. En effet, les scripts sont signes et il n'est done pas possible d'en modifier le contenu sans qu'ils soient 
considered comme corrompus, ce qui est parfaitement coherent avec l'objectif des signatures numeriques. 
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Figure 5.3 

Organisation d'un script WSF. 




Figure 5.4 

Organisation d'un script PowerShell. 



Quatriemement, un certificat de signature numerique du code a ete achete aupres de Thawte 
et tous les scripts PowerShell ont ete signes par l'entite companyabc.com. Si vous avez 
respecte les bonnes pratiques concemant la strategie d' execution, vous devez definir compa- 
nyabc.com comme un editeur approuve avant d'executer les scripts PowerShell. 
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— Attention 

Les scripts fournis avec ce livre sont operationnels. lis ont ete testes et doivent se comporter 
comme nous I'expliquons. Cependant, cela ne signifie pas qu'ils peuvent etre utilises dans un 
environnement de production. Si vous envisagez d'executer I'un de ces scripts dans un tel 
environnement, vous devez commencer par le tester. 



Enfin, les scripts PowerShell et VBScript ont tendance a offrir le meme type d'interaction 
quant aux entrees et aux sorties, bien qu'il existe certaines differences pour les concepts 
nouveaux. Cependant, les methodes d' entree et de sortie sont claires et concises, grace a 
l'utilisation de la console PowerShell, des fichiers de journalisation et des classes Windows 
Forms. 

En resume 

Au fil de ce chapitre, nous avons vu un certain nombre de bonnes pratiques pour l'ecriture 
des scripts PowerShell. Elles concernent leur developpement, leur conception et leur securi- 
sation. L'objectif est egalement d' ameliorer vos qualites de programmeur de scripts. L'origine 
de ces pratiques se trouve autant dans le developpement de logiciels que dans une experience 
pratique du developpement de scripts. Leur mise en ceuvre n'est en aucun cas figee. 

Le veritable objectif de ce chapitre etait de vous inviter a reflechir sur la mise en place d'un 
bon processus d'ecriture des scripts. Vous choisirez peut-etre d'etendre ces pratiques lorsque 
vous les inclurez dans votre prochain developpement de scripts PowerShell. L'equipe 
PowerShell a fait beaucoup d'efforts pour tenter de produire le shell parfait et vous pouvez 
la remercier en tentant d'ecrire des scripts bien penses, bien concus et surs. 
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PowerShell et le 
systeme de fichiers 

Dans ce chapitre 

■ Introduction 

■ Gerer le systeme de fichiers depuis WSH et PowerShell 

■ Manipuler les autorisations 

■ De VBScript a PowerShell 

Introduction 

Ce chapitre s'interesse a la gestion du systeme de fichiers de Windows depuis PowerShell. 
Pour cela, il presente des exemples detailles fondes sur WSH (Windows Script Host) et sur 
PowerShell. lis sont donnes sous ces deux formes afin que le lecteur puisse passer a 
PowerShell en beneficiant de son experience de l'ecriture de scripts pour Windows. Outre la 
comparaison des exemples, ce chapitre decrit egalement un script operationnel pour la 
gestion des fichiers dans un cas reel. L'objectif est de donner au lecteur la possibility d'appli- 
quer les techniques de scripts PowerShell a des besoins d' automation reels. 
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Gerer le systeme de fichiers depuis WSH et PowerShell 

WSH propose plusieurs methodes de manipulation du systeme de fichiers de Windows. 
L'objet FileSystemObject (FSO), WMI (Windows Management Instrumentation) et certains 
outils, comme copy, calcs et xcalcs, n'en sont que quelques exemples. Grace a ces outils 
plefhoriques, nous pouvons effectuer des taches comme copier, creer et supprimer des fichiers 
et des dossiers. La plupart des createurs de scripts se servent du modele FSO pour manipuler 
le systeme de fichiers. 

FSO fait partie du modele d' objet de WSH. II joue le role de racine d' une hierarchie d' objets, 
de methodes et de collections COM qui donnent acces au systeme de fichiers. II permet gene- 
ralement aux programmeurs de manipuler le systeme de fichiers comme bon leur semble, 
mais, dans certains cas, ses fonctionnalites ne sont pas suffisantes et des outils et des metho- 
des complementaires sont necessaires a certaines taches. 

D'un autre cote, PowerShell dispose d'un fournisseur integre, appele FileSystem, pour intera- 
gir avec le systeme de fichiers de Windows. Ce fournisseur apporte une couche d'abstraction 
entre PowerShell et le systeme de fichiers de Windows qui fait que ce dernier ressemble a un 
magasin de donnees hierarchique. Par consequent, l' acces au systeme de fichiers se fait exac- 
tement comme pour n'importe quel autre magasin de donnees disponible par le biais d'un 
fournisseur PowerShell. Comme nous l'avons explique au Chapitre 3, "Presentation avancee 
de PowerShell", les applets de commande principales permettant d'acceder aux magasins de 
donnees et de les manipuler servent egalement pour le systeme de fichiers. La commande 
suivante affiche la liste des applets de commande principales qui manipulent les magasins 
de donnees accessibles par le biais des fournisseurs PowerShell : 



PS C:\> help about_core_commands 



Manipuler les lecteurs 

Dans WSH, nous pouvons utiliser l'objet FSO Drive pour obtenir des informations concer- 
nant les lecteurs disponibles sur un systeme : 

Dim FSO, ob] Drive 

Set FSO = CreateObject("Scripting. FileSystemObject") 
Set objDrive = fso.GetDrive(fso.GetDriveName( "C: \ " ) ) 



WScript.Echo "Espace total : " & FormatNumber(objDrive.TotalSize / 1024, 0) 
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Dans PowerShell, nous pouvons obtenir des informations sur un lecteur a l'aide des applets 
de commande Get-PSDrive et Get -Item. Cependant, comme nous l'avons explique au 
Chapitre 3, PowerShell traite les lecteurs differemment de WSH. Par consequent, si nous 
voulons les memes informations que celles fournies par l'objet FSO Drive, nous devons 
utiliser la classe .NET appropriee, comme le montre l'exemple suivant, ou WMI : 



r 

PS 


C:\> SLecteurC = new-object System. 10. Drivelnfo C 


^ 


PS 


C:\> STailleLecteur 


= ($LecteurC.TotalSize / 1024) 


/ 1000 /1000 


PS 


C:\> STailleLecteur 


= "{0:N0}" -f STailleLecteur 




PS 


C: \> write-host "La 


taille du lecteur C est egale 


a $TailleLecteur Go." 


La 


taille du lecteur C 


est egale a 69 Go. 




PS 

L 


C:\> 




* 



Manipuler les dossiers 

Dans WSH, nous pouvons acceder aux informations d'un dossier et creer, supprimer, copier 
et deplacer des dossiers a l'aide de l'objet FSO Folder : 

Dim FSO, obj Folder 

Set FSO = CreateObjectf "Scripting. FileSystemObj ect " ) 
Set objFolder = FSO.GetFolder( "C: \outils" ) 

WScript .Echo obj Folder. DateLastAccessed 



Dans PowerShell, les applets de commande principales realisent les memes taches : 



r 

PS C:\> get-item 


C:\outils | select LastAccessTime 


LastAccessTime 




06/10/2007 14:03: 


:20 


PS C:\> 


^ 
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Manipuler les fichiers 

Dans WSH, nous pouvons acceder aux informations d'un fichier et creer, modifier, copier, 
deplacer et supprimer des fichiers a l'aide de l'objet FSO File : 

Dim FSO 

Set FSO = CreateObject("Scripting.FileSystemObject") 

strNomExtension = FSO.GetExtensionName( "C: \outils\Plan_Domination_Monde_R1 .doc") 
WScript.Echo strExtensionName 



Dans PowerShell, les applets de commande principales permettent d' acceder aux informa- 
tions d'un fichier et de manipuler des fichiers : 



r 

PS C: 


\outils> 


^ 

$Fichier = get-item Plan_Domination_Monde_R1.doc 


PS C: 


\outils> 


$Fichier. extension 


.doc 






PS C: 

k. 


\outils> 


*• 



Comme le montrent ces exemples, les methodes de manipulation du systeme de fichiers 
Windows avec FSO et PowerShell sont similaires. Les applets de commande principales de 
PowerShell permettent de realiser pratiquement les memes taches que les objets FSO. 

Manipuler les autorisations 

Dans WSH, la manipulation des autorisations du systeme de fichiers presente quelques limi- 
tes. Par exemple, il n'existe aucune solution simple pour modifier les autorisations d'un 
fichier ou d'un dossier. Les developpeurs de scripts doivent choisir entre utiliser un outil 
externe, comme cacls, Xcacls, Xcalcs. vbs ou SublnACL, ou passer par ADsSecurity.dll ou 
la classe WMI Win32_LogicalFileSecuritySetting. Aucune de ces methodes n'offre une 
solution complete ou standard de gestion des autorisations du systeme de fichiers dans WSH. 
En general, un script permet de compenser 1' absence de fonctionnalites. 

Fixer des autorisations avec SublnACL 

Etant donne les limites de WSH, l'outil SublnACL est tres souvent employe pour modifier les 
autorisations du systeme de fichiers. II n'est pas parfait, mais, en le completant par des scripts, 
il suffit generalement a cette tache. Par ailleurs, SublnACL prend en charge les fichiers, les 
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repertoires, les partages de fichiers et les partages d'imprimantes. II peut egalement etre 
utilise sur le Registre, les services systeme et meme la metabase IIS {Internet Information 
Services). Vous pouvez telecharger SublnACL a l'adresse www.microsoft.com/downloads/ 
details.aspx?FamilyId=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en. 

LasyntaxedeSublnACLprendlaforme [/Option] ltype_objet nom_objet [[ I Action ^Para- 
metre ] . . ] . Bien que cette syntaxe semble simple, SublnACL est un outil complexe qui permet 
de repondre a diverses situations. 

Quel que soit 1' outil utilise, les changements d'autorisation suivants sont les plus repandus : 

■ devenir le proprietaire ; 

■ effacer des autorisations ; 

■ ajouter des autorisations ; 

■ retirer des autorisations. 

Cette liste n'est en rien exhaustive, mais elle peut servir de base au developpement de 
fonctions tres souvent utilisees. L'ecriture de fonctions reutilisables est une bonne pratique 
fortement recommandee. Elles peuvent servir dans de nombreux scripts et reduire les 
temps de developpement. Pour modifier les autorisations du systeme de fichiers, l'ecriture 
de fonctions reutilisables prend tout son sens car travailler avec les interfaces reconnues 
par WSH ou les outils existants peut demander beaucoup de temps. Par consequent, les 
fonctions SublnACL decrites a la section suivante ont ete creees de maniere a etre reutilisees 
dans des scripts. 

Fonctions SublnACL 

Nous proposons quatre fonctions SublnACL : SetOwner, DumpPerm, AddPerm et RemovePerm. 
Chacune d' elles attend des arguments et construit une chaine de commande destinee a 
SublnACL. En utilisant un objet WshShell, nous executons SublnACL avec la chaine de 
commande preparee. Ensuite, le contenu du fichier log . temp gere par SublnACL est examine, 
a la recherche d'erreurs, grace a la fonction ParseTempFile. Selon les informations d'erreurs 
trouvees, un code de succes ou d'echec est finalement ecrit sur la console. 

Function SetOwner(path, account) 

'Fixer le proprietaire d'un dossier ou de sous-dossiers. 
On Error Resume Next 

strCommand = "subinacl /verbose /output=log . temp " 

& "/subdirectories & path & /setowner= & account & 
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ErrorCode = objWS.Run(strCommand, 0, TRUE) 

If ErrorCode <> 0 Then 

StdOut.Write( " " & account & ":" 

& " [Echec de SetOwner] sur " & path) 

Else 

return = inStr(1, ParseTempFile( "log. temp" ) , "ne sera pas examine") 

If Not return = 0 Then 
StdOut.Write( " " & account & ":" 

& " [Echec de SetOwner] sur " & path) 

Else 

StdOut.Write( " " & account & ":" 

& " [Succes de SetOwner] sur " & path) 
End If 
End If 

ErrorCode = vbNullString 
End Function 

Function DumpPerm(path) 

' Effacer les autorisations d'un dossier ou de sous -dossiers . 
On Error Resume Next 

strCommand = "subinacl /verbose /output=log . temp " 
& "/subdirectories & path & /perm" 

ErrorCode = objWS.Run(strCommand, 0, TRUE) 

If ErrorCode <> 0 Then 

StdOut.Write( " Autorisations non effacees sur " & path) 

Else 

StdOut.Write( " Autorisations effacees sur " & path) 
End If 

ErrorCode = vbNullString 
End Function 

Function AddPerm(path, account, access) 

' Accorder des droits a un utilisateur sur un dossier ou des sous -dossiers . 
On Error Resume Next 

strCommand = "subinacl /verbose /output=log.temp" 
& " /subdirectories & path & /grant= 
& account & =" & access 

ErrorCode = objWS.Run(strCommand, 0, TRUE) 
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If ErrorCode <> 0 Then 

StdOut .Write( " " & account & ": " & access 
& " [Echec de AddPerm] sur " & path) 

Else 

return = inStr(1, ParseTempFile (" log . temp" ) , "ne sera pas examine") 

If Not return = 0 Then 

StdOut. Write (" " & account & ": " & access 
& " [Echec de AddPerm] sur " & path) 

Else 

StdOut. Write (" " & account & ": " & access 
& " [Succes de AddPerm] sur " & path) 

End If 
End If 

ErrorCode = vbNullString 
End Function 

Function RemovePerm(path, account, access) 

1 Retirer des droits a 1 ' utilisateur sur un dossier ou des sous-dossiers. 
On Error Resume Next 

strCommand = "subinacl /verbose /output=log.temp" 
& " /subdirectories & path & /revoke= 
& account & =" & access 

ErrorCode = objWS.Run(strCommand, 0, TRUE) 

If ErrorCode <> 0 Then 

StdOut .Write( " " & account & ": " & access 
& " [Echec de AddPerm] sur " & path) 

Else 

return = inStr(1, ParseTempFile (" log . temp" ) , "ne sera pas examine") 

If Not return = 0 Then 

StdOut. Write (" " & account & ": " & access 
& " [Echec de AddPerm] sur " & path) 

Else 

StdOut. Write (" " & account & ": " & access 
& " [Succes de AddPerm] sur " & path) 

End If 
End If 

ErrorCode = vbNullString 
End Function 
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Fixer des autorisations dans PowerShell 

Vous pourriez penser que, grace aux applets de commandes Get - ACL et Set - ACL, la gestion des 
autorisations du systeme de fichiers est plus facile dans PowerShell. Cependant, Set -ACL a 
besoind'unobjetdescripteurde securite defini par la classe System. Security .AccessControl. 
Ob j ectSecurity. La creation d'un descripteur de securite n'est pas complexe, mais la gestion 
des autorisations n'est pas aussi evidente a mettre en place dans un script qu'on pourrait le 
croire. Face a des termes tels que descripteur de securite et liste de controle d'acces (ACL, 
Access Control List), vous pourriez etre tente de revenir a des outils plus familiers, comme 
SublnACL. Cependant, si vous etudiez le processus etape par etape, vous vous apercevrez 
qu'il n'est finalement pas tres complique : 

1. Obtenir le descripteur de securite d'un objet a l'aide de Get -ACL. 

2. Creer une ACL a partir d'entrees de controle d'acces (ACE, Access Control Entry). 

3. Ajouter l'ACL au descripteur de securite. 

4. Associer le nouveau descripteur de securite a l'objet a l'aide de Set - ACL. 
Le code suivant illustre ces quatre etapes : 



PS C:\> $DS = get-acl "Planning de Helena. csv" 

PS C:\> $Regle = new-object System. Security .AccessControl. 
FileSystemAccessRule ( "maiko", "FullControl" , "Allow") 

PS C:\> $DS.AddAccessRule($Regle) 

PS C:\> set-acl "Planning de Helena. csv" $DS 

PS C:\> 



L'etape la plus difficile a comprendre reste la construction de la regie d'acces. Celle-ci est 
constitute de trois parametres qui definissent un utilisateur ou un groupe, un droit d'acces et 
un type de controle d'acces. Le premier parametre, Identity, designe l'utilisateur ou le 
groupe a ajouter a la regie d'acces. Le deuxieme, FileSystemRights, est plus subtil car il 
demande de comprendre les droits du systeme de fichiers avant de pouvoir definir l'acces. 
La commande suivante genere la liste des droits reconnus : 



PS C: \> [enum] : : Get Names ( [System .Security .AccessControl. FileSystemRights] ) 

ListDirectory 

ReadData 

WriteData 

CreateFiles 
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CreateDirectories 
AppendData 

ReadExtendedAttributes 

WriteExtendedAttributes 

Traverse 

ExecuteFile 

DeleteSubdirectoriesAndFiles 

ReadAttributes 

WriteAttributes 

Write 

Delete 

ReadPermissions 
Read 

ReadAndExecute 
Modify 

ChangePermissions 

TakeOwnership 

Synchronize 

FullControl 

PS C:\> 



A partir de cette liste, nous pouvons definir un seul droit, comme Modify (modifier), ou 
combiner des droits dans une liste, comme Read (lire), Write (ecrire) et Delete (supprimer). 
Le troisieme parametre, AccessControlType, accepte uniquement les valeurs Allow (autori- 
ser) et Deny (refuser). 

Fonctions PowerShell 

Comme pour SublnACL, nous pouvons developper un ensemble de fonctions reutilisables 
pour la gestion des autorisations. Voici des exemples de telles fonctions : 



# Clear-Inherit 
# 

# Usage : Se proteger contre les regies d'acces heritees et 

# retirer toutes les regies heritees indiquees. 

# $0bject : Le chemin du dossier ou du fichier ("c:\monDossier" ou 

# "c:\monFichier.txt"). 



function Clear-Inherit{ 
param ($0bject) 
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$SD = get-acl $Object 
$SD.SetAccessRuleProtection($True, $False) 
set-acl $Object $SD 



Clear -Inherit n'est peut-etre pas le nom approprie pour cette fonction car, si elle empeche 
l' application des autorisations heritees depuis l'objet parent et si elle efface les autorisations 
heritees de l'objet racine et des sous-objets, elle efface egalement les autorisations definies 
sur les sous-objets. Par consequent, avant de l'invoquer, il est preferable que vous deveniez 
le proprietaire de l'objet ou que vous verifiiez que vous avez defini explicitement vos droits 
sur l'objet du systeme de fichiers racines. Si vous n'etes pas certain d'avoir acces aux objets 
du systeme de fichiers, vous risquez de rencontrer des messages "acces refuse" apres avoir 
efface les droits herites. 

La fonction suivante, Set - Owner, fixe le proprietaire d'un objet du systeme de fichiers : 



# 

# Set -Owner 

# 

un dossier ou d'un fichier. 
du fichier ("c:\monDossier" ou 

groupe ( "Administrateurs" ou 
")■ 



# Usage : Fixer le proprietaire d' 

# SObject : Le chemin du dossier ou 

# "c:\monFichier.txt"). 

# SIdentity : Nom d ' utilisateur ou de 

# "monDomaine\utilisateur1 



function Set-Owner{ 

param ($0bject, 

[ System. Security. Principal. NTAccount]$Identity) 



# Obtenir 1' element a modifier. 
$Item = get-item SObject 

# Fixer son proprietaire. 

$SD = $ltem.GetAccessControl() 

$SD.SetOwner($Identity) 

$Item.SetAccessControl($SD) 
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Ensuite, la fonction Clear -SD permet d'effacer le descripteur de securite d'un objet du 
systeme de fichiers : 



function Clear-SD{ 
param ($0bject) 

# Obtenir le descripteur de securite de l'objet. 
$SD = get-acl $0bject 

# Fixer le descripteur de securite a Tout le monde - Controle total. 
# 

# Effectivement, cela ne fait pas partie des bonnes pratiques. Si cela ne 

# convient pas, fixer le descripteur de securite a 1 1 utilisateur 

# courant. 

$SD.SetSecurityDescriptorSddlForm( "D:PAI(A;OICI;FA; ; ;WD) ") 
set-acl $0bject $SD 

Bien que la fonction Clear -SD ne soit pas utilisee dans le script de gestion du systeme de 
fichiers decrit plus loin, elle illustre bien la definition d'un descripteur de securite a l'aide du 
langage SDDL (Security Descriptor Definition Language). SDDL permet de decrire un 
descripteur de securite sous forme d'une chaine de texte. Si la fonction Clear -SD est utilisee, 
le descripteur de securite d'un objet est efface, puis il est fixe a FullControl (controle total) pour 
le groupe Everyone (tout le monde), la chaine " D : PAI (A; OICI ; FA; ; ;WD) " etant employee. 



# 



# Clear-SD 



# 



# Usage : 

# $0bject 
# 



Effacer toutes les autorisations d'un dossier ou d'un fichier. 
Le chemin du dossier ou du fichier ("c:\monDossier" ou 
" c : \monFichier . txt " ) . 




Pour plus d'informations sur la construction d'un descripteur de securite a l'aide d'une chaine, 
consultez la page http://msdn.microsoft.com/library/default.asp7urk/library/en-us/secauthz/ 
security/security_descriptor_string_format.asp. 
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La fonction suivante, Add -ACE, accorde des droits a un utilisateur ou un groupe sur un objet 
du systeme de fichiers. Bien qu'elle soit analogue a l'exemple donne au debut de cette 
section, elle montre egalement comment controler les parametres d' heritage d'une nouvelle 
ACE (Access Control Entry) avec les enumerations System. Security. AccessControl. 
PropagationFlags et System. Security . AccessControl . InheritanceFlags : 



Add -ACE 



Usage : 
SObject : 

$Identity : 

$AccessMask 

$Type : 



Accorder des droits a un dossier ou un fichier. 

Le chemin du dossier ou du fichier ("c:\monDossier" ou 

"c: \monFichier.txt" ) . 

Norn d ' utilisateur ou de groupe ( "Administrateurs" ou 
"monDomaine\utilisateur1 " ) . 

Les droits a utiliser pour la creation de la regie d'acces 
( "FullControl" , "ReadAndExecute, Write", etc.). 
Accorder ou refuser les droits ("Allow" ou "Deny"). 



function Add-ACE{ 
param ($Object, 

[ System. Security. Principal. NTAccount]$Identity , 

[ System. Security .AccessControl. FileSy st emRights]$AccessMask, 

[ System. Security .AccessControl. AccessControlType]$Type) 

SInheritanceFlags = 

[System. Security .AccessControl. InheritanceFlags] ' 

"Container Inherit , Obj ect Inherit" 
SPropagationFlags = 

[System. Security .AccessControl. PropagationFlags] "None" 



# Obtenir le descripteur de securite de l'objet. 
$SD = get-acl $0bject 



# Aj outer les regies d'acces. 

$Rule = new-object 

Sy stem. Security. AccessControl. FileSy st emAccessRule ($Ident it y , 
$AccessMask, SInheritanceFlags , SPropagationFlags , $Type) 



$SD.AddAccessRule($Rule) 
set-acl SObject $SD 
} 
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Ne vous laissez pas perturber par le nom de ces indicateurs. lis determinent 1' application 
d'une ACE a un objet et a tous ses sous-objets. Dans la fonction Add -ACE, les indicateurs 
sont definis de maniere que l'ACE soit appliquee a "Ce dossier et a tous les sous-dossiers 
et fichiers". Autrement dit, elle est non seulement appliquee a l'objet en cours de modifi- 
cation, mais elle est egalement propagee a tous les sous-objets de cet objet. Cette propaga- 
tion devrait suffire pour la plupart des taches de gestion du systeme de fichiers. Si ce n'est 
pas le cas, vous pouvez toujours modifier la fonction afin qu'elle accepte des parametres 
d' heritage en arguments. 

La derniere fonction se nomme Remove -ACE. Elle supprime une ACE dans une ACL : 



# 

# Remove -ACE 
# 

# Usage : Retirer des droits a un dossier ou un fichier. 

# $0bject : Le chemin du dossier ou du fichier ("c:\monDossier" ou 

# "c:\monFichier.txt"). 

# $Identity : Nom d ' utilisateur ou de groupe ( "Administrateurs" ou 

# "monDomaine\utilisateur1 " ) . 

# $AccessMask : Les droits a utiliser pour la creation de la regie d'acces 

# ( "FullControl" , "ReadAndExecute, Write", etc.). 

# $Type : Accorder ou refuser les droits ("Allow" ou "Deny"). 



function Remove -ACE{ 
param (SObject, 

[System. Security. Principal. NTAccount]$Ident it y, 

[System. Security . AccessControl . FileSystemRights]$AccessMask, 

[System. Security .AccessControl.AccessControlType]$Type) 



# Obtenir le descripteur de securite de l'objet. 
$SD = get-acl $0bject 



# Retirer la regie l'acces. 
$Rule = new-object 

Sy stem. Security .AccessControl. FileSy st emAccessRule (SIdentity , 

SAccessMask, $Type) 
$SD.RemoveAccessRule($Rule) 
set-acl SObject $SD 
} 
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De VBScript a PowerShell 

Si cet ouvrage presente des applications pratiques de PowerShell, il montre egalement 
comment convertir des scripts VBScript en scripts PowerShell. Le premier exemple est un 
script de creation de comptes pour l'entreprise companyabc.com, un fournisseur d'acces a 
Internet a la croissance rapide. Lors de l'ajout de nouveaux comptes, un dossier de site Web 
est egalement cree pour chaque compte. Pour cela, un modele de structure est recopie vers 
les dossiers de site Web des nouveaux utilisateurs. Par le passe, la societe companyabc.com 
demandait a des employes ou a des contractuels de creer ces dossiers et de fixer les autorisa- 
tions de l'arborescence. 

Apres plusieurs erreurs de configuration des autorisations et des suppressions accidentelles 
de dossiers, le service informatique a decide que cette maniere de proceder etait loin d'etre 
satisfaisante. Pour remplacer le processus manuel, il a souhaite automatiser la creation du 
dossier Web de l'utilisateur, la copie de la structure modele dans ce dossier et la definition 
des autorisations. 

Le script ProvisionWebFolders.wsf 

ProvisionWebFolders .wsf est un script VBScript de type WSF (Windows Script File) 
developpe pour repondre aux besoins d' automation de la societe companyabc.com. Vous le 
trouverez dans le dossier Scripts\Chapitre 6\ProvisionWebFolders et vous pouvez le tele- 
charger depuis www.pearsoneducation.fr. Ce script attend deux parametres. 

Tout d'abord, l'argument de templatepath doit designer le chemin du dossier modele a reco- 
pier dans le dossier Web des nouveaux utilisateurs. Ensuite, l'argument d'importfile doit 
preciser le nom d'un fichier CSV, qui definit les nouveaux utilisateurs, et l' emplacement de 
leur dossier Web. Voici la commande qui permet d'executer le script ProvisionWebFolders . 
wsf. Un exemple d'execution est presente a la Figure 6.1 : 



cscript ProvisionWebFolders.wsf /templatepath :". \Template" /importfile : " 
. \users . csv" 



Voici les actions effectuees par le script ProvisionWebFolders .wsf : 

1. II verifie le chemin du dossier modele. 

2. Ensuite, il ouvre et lit le contenu du fichier CSV (nouveaux utilisateurs et emplacement 
du dossier) dans un tableau. 
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cC C:\WINDOWS\system32\cmd.exe HBP 

C:\Scripts>cscript ProvisionUebFolders .wsf /templatepath: ".Stemplate" /importf ilH 
e : "Ausers .csv" mm 
Microsoft <R> Windows Script Host Uersion 5.6 

Copyright <C> Microsoft Corporation 1996-2001. Tous droits reserves. 

tttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttt 
II Pro vision Ue bFo lde r s It 

ttttttttttttttttttttBBttttttttttttttttttttttttfttt»«tttttttt»tttt«ttHHtt 



verification du chemin des modeles [OK] 
Verification du fichier import e [OK] 

Creation des dossiers web : 
D:\Work\WWWs\Tyson [COPIE! 
Admin is t rat eurs : [Succes de SetOwner] sur D:\Work\WWUs\Tyson 
Admin is t rat eurs : [Succes de SetOwner] sur D:\WorksWWUs\TysonS**.** 
Autorisations effacees sur D:\Uork\UUUs\Tyson 
Autorisat ions effacees sur D:\Uork\WWWs\Tyson\**.** 
Administrateurs : F [Succes de AddPerm] sur D:\Work\WWWs\Tyson 
Admin istrateurs : F [Succes de AddPerm] sur D:\UorkSUUUs\TysonY*.* 
SYSTEM: F [Succes de AddPerm] sur D:\Work\WWWs\Tyson 
SYSTEM: F [Succes de AddPerm] sur D:\Work\WUUs\TysonV*. ~ 
Tyson: F [Succes de AddPerm] sur D:\Work\WUUs\Tyson 
Tyson: F [Succes de AddPerm] sur D:\Work\WWUs\Tyson\*.* 

D:\Work\WWWs\Maiko [COPIE] 
Administrateurs: [Succes de SetOwner] sur D:\Uork\UUUs\Maiko 
Administrateurs: [Succes de SetOwner] sur D:\Uork\UUUs\MaikoS**.** 
Autor is at ions effacees sur D:\Uork\UUUs\Maiko 
Autorisations effacees sur D : sUo r k\WUWs\Ma iko\* . 
Administrateurs: F [Succes de AddPerm] sur D:\WorksUUUs\Maiko 
Administrateurs: F [Succes de AddPerm] sur D:\WorksWWWs\Maiko\*.* 
SYSTEM: F [Succes de AddPerm] sur D:\Uork\UUUs\Maiko 
SYSTEM: F [Succes de AddPerm] sur D:\Uork\UUUs\Maiko\*.* 
Maiko: F [Succes de AddPerm] sur D:\Uork\UUUs\Maiko 
Maiko: F (Succes de AddPerm] sur D:\Work\WWUs\MaikoV*. * 

D:\Work\WWUsSGarett [COPIE] 
Administrateurs: [Succes de SetOwner! sur D:\Uork\UUUs\Garett 
Administrateurs: [Succes de SetOwner] sur D:\Uork\UWUs\Garett\*. » 
Autorisations effacees sur D:\Uork\WWWs\Garett 
Autorisations effacees sur D:\Work\WWWs\Garett\**.** 
Administrateurs: F [Succes de AddPerm] sur D:\Work\UUUs\Garett 
Administrateurs: F [Succes de AddPerm] sur D:\Work\UUUs\GarettV*. * 
SVSTEM: F [Succes de AddPerm] sin* D:\Uork\UUUs\Garett 
SYSTEM: F [Succes de AddPerm! sur D:\Work\WWWs\GarettV*.* 
Garett: F [Succes de AddPerm! sur D:\Work\WWWsNGarett 
Garett: F [Succes de AddPerm! sur D:\Work\WWWs\Garett\«.» 



Figure 6. 1 

Execution du script ProvisionWebFolders.wsf. 

3. Pour chaque utilisateur dans le tableau, il invoque xcopy arm de recopier l'arborescence 
du dossier modele dans le dossier Web du nouvel utilisateur. 

4. II utilise ensuite SublnACL pour fixer les autorisations de chaque dossier : 

- Administrateurs : Proprietaire 

- Administrateurs : Controle total 

- Systeme : Controle total 

- Nouvel utilisateur : Controle total 
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Info 

Ce script utilise differentes fonctions de sortie vers la console ou un fichier de journalisation : 
Mess, StatStart et StatDone. Lorsque vous ecrivez des scripts destines aux administrateurs 
qui ne sont pas eux-memes des developpeurs de scripts, faites en sorte que les interactions 
avec I'utilisateur soient coherentes. Cela ameliore I'utilisabilite des scripts et leur donne un 
niveau professionnel. Le code source de ces fonctions se trouve a la fin du script. 



Notre premier exemple de code est constitute des elements XML initiaux d'un fichier WSF. 
lis definissent les parametres acceptes, decrivent le script, donnent des exemples d'utilisation 
et precisent le langage employe : 

<?xml version="1 .0" encoding="IS0-8859-1 " ?> 
<package> 

<job id="ProvisionWebFolders"> 
<runtime> 

<description> 

*********************************************************************** 

Ce script cree le dossier Web des utilisateurs indiques dans une liste. 
*********************************************************************** 

</description> 

<named name="templatepath" helpstring="Chemin du modele de 
1 1 arborescence de dossiers a copier." type="string" required="1" /> 

<named name="importfile" helpstring="Chemin du fichier CSV a 
importer." type="string" required="1" /> 

<example> 

Exemple : 

cscript ProvisionWebFolders .wsf /templatepath : "C: \Dossiers Modeles\Dossier1 " 
/importfile: "c: \temp\utilisateurs.csv" 

</example> 

</ runtime> 

<script language="VBScript"> 

<! [CDATA[ 



Ensuite, le script verifie que les arguments des parametres obligatoires templatepath et 
importfile sont definis. Si ce n'est pas le cas, il affiche les informations d'utilisation (voir le 



Chapitre 6 



PowerShell et le systeme de fichiers 161 



code precedent) sur la console et se termine. Si les arguments sont definis, il etablit son envi- 
ronnement en definissant les variables utilisees par la suite : 




Verifier les arguments obligatoires . 



If WScript .Arguments . Named . Exists ( "templatepath" 

WScript. Arguments. Showllsage( ) 

WScript. Quit 
End If 

If WScript .Arguments . Named . Exists ( "importfile" ) = FALSE Then 

WScript. Arguments. Showllsage( ) 

WScript. Quit 
End If 




Const ForReading = 1 
ReDim arrTargs(0) 
Dim StdOut 
Dim FSO, objWS 

Dim strTemplatePath , strlmportFile 
Set StdOut = WScript. StdOut 

Set FSO = CreateObjectf "Scripting. FileSystemObj ect " ) 
Set objWS = CreateObj ect ("WScript. Shell") 

strTemplatePath = WScript .Arguments . Named ( "templatepath" ) 
strlmportFile = WScript .Arguments . Named (" importfile" ) 



L'exemple de code suivant correspond au debut de l'automation. Tout d'abord, le script affi- 
che son en-tete sur la console, puis verifie que templatepath correspond a un chemin valide 
du systeme de fichiers. Si ce n'est pas le cas, il se termine. Vous remarquerez comment les 
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informations de validite du chemin donnees par templatepath et l'etat de l'execution du 
script sont affiches sur la console afin que l'administrateur puisse les consulter a l'aide des 
fonctions StatStart et StatDone : 



Commencer le travail. 



Mess " ######################################## " 
Mess "# ProvisionWebFolders #" 

Mess " ######################################## " 
Mess vbNullString 



Mess vbNullString 



Confirmer 1' existence de TemplatePath . 



StatStart "Verification du chemin des modeles" 

If (FSO.FolderExists(strTemplatePath)) Then 
StatDone 

Else 

StdOut .WriteLine ( "Erreur fatale : le chemin des modeles n'existe pas...") 
WScript. Quit() 
End If 

Dans le code suivant, la fonction ParseFile lit chaque ligne du fichier CSV, en sautant la 
premiere, et l'ajoute en tant qu'element d'un tableau existant. Elle est ecrite de maniere a 
appeler la fonction Xerror en cas d'erreur. Xerror stoppe l'execution, affiche l'erreur sur 
la console et quitte le script : 



Verifier le fichier CSV. 



StatStart "Verification du fichier importe" 

ParseFile strlmportFile , arrTargs 
StatDone 
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L'exemple de code suivant montre l'utilisation de xcopy pour creer le dossier Web d'un utili- 
sateur et y recopier la structure modele : 




StdOut.Write("\" & strUserName) 



strCommand = "xcopy & strTemplatePath & & strPath & "\" _ 

& strUserName & 10 /E /I /Y" 

ErrorCode = objWS. Run (strCommand, 0, TRUE) 

If ErrorCode <> 0 Then 

StdOut .WriteLine ( " [ ECHEC] [Commande invoquee : " & strCommand & "]") 

Else 

StdOut. WriteLine (" [COPIE]") 

Pour l'appel a xcopy, le script utilise une chaine qui definit la commande (strCommand) et 
un objet WScript . Shell nomme objWS. Nous pourrions obtenir les memes resultats avec un 
objet FSO, mais xcopy reduit le nombre de lignes de code necessaires a cette operation. 

Une fois le dossier Web de l'utilisateur cree, l'etape suivante consiste a en fixer les autorisa- 
tions. Pour cela, le script se sert de l'outil SublnACL en invoquant les fonctions DumpPerm, 
SetOwner et AddPerm. Dans l'exemple de code suivant, faites particulierement attention a la 
maniere dont les fonctions sont appelees deux fois lorsque les autorisations d'un objet sont 
modifiees. 
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' Administrateurs devient le proprietaire du dossier. 
SetOwner strPath & "\" & strUserName , "Administrateurs" 
Mess vbNullString 

' Administrateurs devient le proprietaire de tout le contenu du dossier. 
SetOwner strPath & "\" & strUserName & "\*.*", "Administrateurs" 
Mess vbNullString 

' Effacer les autorisations du dossier. 
DumpPerm strPath & "\" & strUserName 
Mess vbNullString 

' Effacer les autorisations du contenu du dossier. 
DumpPerm strPath & "\" & strUserName & "\*.*" 
Mess vbNullString 

' Ajouter le groupe Administrateurs. 

AddPerm strPath & "\" & strUserName, "Administrateurs", "F" 
Mess vbNullString 

' Ajouter le groupe Administrateurs a tout le contenu du dossier. 
AddPerm strPath & "\" & strUserName & "\*.*", "Administrateurs", "F" 
Mess vbNullString 

' Ajouter SYSTEM. 

AddPerm strPath & „\" & strUserName, „ SYSTEM" , „F" 
Mess vbNullString 

' Ajouter SYSTEM a tout le contenu du dossier. 

AddPerm strPath & "\" & strUserName & "\*.*\ "SYSTEM", "F" 

Mess vbNullString 

' Ajouter l'utilisateur. 

AddPerm strPath & "\" & strUserName, strUserName, "F" 
Mess vbNullString 

' Ajouter l'utilisateur a tout le contenu du dossier moins 
AddPerm strPath & "\" & strUserName & "\*.*", strUserName, "F" 
Mess vbNullString 

End If 

Mess vbNullString 
ErrorCode = vbNullString 

Next 

Mess "Termine : les dossiers Web ont ete crees" 
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Le premier appel a SublnACL modifie les autorisations sur le dossier racine, tandis que le 
second modifie celles des sous-dossiers et fichiers du dossier racine. Le deuxieme appel n'est 
sans doute pas necessaire si les autorisations du dossier racine ont ete effacees. Cependant, 
effacer les autorisations d'une arborescence de dossiers ne fixe pas toujours correctement les 
parametres d' heritage. Certains sous-dossiers et fichiers risquent alors de ne pas heriter des 
autorisations du dossier racine. En appelant une seconde fois SublnACL pour modifier les 
autorisations des sous-dossiers et des fichiers du dossier racine, il semble que nous resol- 
vions le probleme d' heritage. 

Le dernier exemple de code est constitue des procedures et des fonctions utilisees tout au 
long du script et des elements XML terminant le script. II est inutile de detailler cette partie 
finale du script car ces procedures et fonctions sont suffisamment comprehensibles par elles- 
memes et ont deja ete presentees : 



Procedures . 



Procedure generale pour les messages. 



Sub Mess(Message) 

' Ecrire sur la console. 

StdOut .WriteLine(Message) 
End Sub 



Procedure generale pour le debut d'un message. 



Sub StatStart(Message) 

, Ecrire sur la console. 
StdOut .Write(Message) 

End Sub 



Procedure generale pour la fin d'un message. 



Sub StatDone 

' Ecrire sur la console. 
StdOut. Write(vbTab & vbTab) 
StdOut. WriteLine( " [OK] " ) 

End Sub 
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Fonctions . 



Function ParseFile(file, arrname) 

' Cette fonction lit un fichier et retourne un tableau de son contenu. 




' La premiere ligne est sautee ! ! ! 
On Error Resume Next 
count = -1 

1 Ouvrir le fichier en lecture. 

Set objFile = FSO.OpenTextFile(file, ForReading) 

objFile. SkipLine 1 note : cette ligne donne les en-tetes des colonnes. 
Xerror 

1 Lire chaque ligne du fichier et la placer dans un tableau. 
Do While obj File. AtEndOf Stream <> True 
count = count + 1 

If count > UBound(arrname) Then ReDim Preserve arrname(count) 
arrname(count) = obj File . Readline 

Loop 
Xerror 

1 Fermer le fichier. 
objFile. Close( ) 
Set objFile = Nothing 
count = 0 



End Function 

Function ParseTempFile(path) 

1 Ouvrir un fichier en lecture. 

Set objFile = FSO.OpenTextFile(path, ForReading) 
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tempfileinf o = vbNullString 

Do While ob j File. AtEndOf Stream <> True 

tempfileinf o = tempfileinf o & obj File . Readline 

Loop 

ParseTempFile = tempfileinfo 

objFile.Close() 
Set obj File = Nothing 
End Function 

Function SetOwner(path, account) 

' Fixer le proprietaire d'un dossier ou de sous -dossiers . 
On Error Resume Next 

strCommand = "subinacl /verbose /output=log . temp " _ 

& "/subdirectories & path & /setowner= & account & 

ErrorCode = objWS.Run(strCommand, 0, TRUE) 

If ErrorCode <> 0 Then 

StdOut.Write( " " & account & ":" 

& " [Echec de SetOwner] sur " & path) 
Else 

return = inStr(1, ParseTempFile( "log. temp" ) , "ne sera pas examine") 

If Not return = 0 Then 
StdOut. Write ( " " & account & 

& " [Echec de SetOwner] sur " & path) 

Else 

StdOut. Write ( " " & account & ":" 

& " [Succes de SetOwner] sur " & path) 
End If 
End If 

ErrorCode = vbNullString 
End Function 



Function DumpPerm(path) 

' Ef facer les autorisations d'un dossier ou de sous -dossiers . 
On Error Resume Next 

strCommand = "subinacl /verbose /output=log . temp " 
& "/subdirectories & path & /perm" 



168 Partie 2 Appliquer ses connaissances a PowerShell 




ErrorCode = objWS.Run(strCommand, 0, TRUE) 



If ErrorCode <> 0 Then 

StdOut .Write( " Autorisations non effacees sur " & path) 

Else 

StdOut. Write (" Autorisations effacees sur " & path) 
End If 



ErrorCode = vbNullString 
End Function 



Function AddPerm(path, account, access) 

' Accorder des droits a un utilisateur sur un dossier ou des sous -dossiers. 
On Error Resume Next 

strCommand = "subinacl /verbose /output=log .temp" 
& " /subdirectories & path & /grant= 
& account & =" & access 



ErrorCode = objWS.Run(strCommand, 0, TRUE) 



If ErrorCode <> 0 Then 

StdOut. Write (" " & account & ": " & access 
& " [Echec de AddPerm] sur " & path) 

Else 

return = inStr(1, ParseTempFile (" log . temp" ) , "ne sera pas examine") 



If Not return = 0 Then 

StdOut. Write (" " & account & ": " & access 
& " [Echec de AddPerm] sur " & path) 

Else 

StdOut. Write (" " & account & ": " & access 
& " [Succes de AddPerm] sur " & path) 

End If 
End If 



ErrorCode = vbNullString 
End Function 



]]> 
</script> 

</ job> 
</package> 
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Le script ProvisionWebFolders.psI 

ProvisionWebFolders. ps1 est une conversion en PowerShell du script Pro visionWebFolders. 
wsf. Vous en trouverez une version operationnelle dans le dossier Scripts\Chapitre 6\ 
ProvisionWebFolders et en telechargement sur le site www.pearsoneducation.fr. 

Ce script attend deux parametres. Tout d'abord, l'argument de TemplatePath doit designer le 
chemin du dossier modele a recopier dans le dossier Web des nouveaux utilisateurs. Ensuite, 
l'argument d'lmportFile doit preciser le nom d'un fichier CSV qui definit les nouveaux 
utilisateurs et 1' emplacement de leur dossier Web. Voici la commande qui permet d'executer 
le script ProvisionWebFolders . psl . Un exemple d'execution est presente a la Figure 6.2 : 



PS D:\Travail> . \ProvisionWebFolders . ps1 .\template .\users.csv 




Figure 6.2 

Execution du script ProvisionWebFolders.psI . 



170 Partie2 



Appliquer ses connaissances a PowerShell 



Voici les actions effectuees par le script ProvisionWebFolders . ps1 : 

1 . II verifie que le chemin du dossier modele existe. 

2. Ensuite, il verifie que le chemin du fichier importe existe. 

3. II importe le fichier CSV dans la variable $Targets. 

4. Pour chaque utilisateur dans la variable $Targets, il copie l'arborescence du dossier 
modele dans le dossier Web du nouvel utilisateur. 

5. Pour finir, le script fixe les autorisations de chaque dossier : 

- Administrateurs : Proprietaire 

- Administrateurs : Controle total 

- Systeme : Controle total 

- Nouvel utilisateur : Controle total 

Le premier exemple de code contient l'en-tete du script ProvisionWebFolders. psl. Cet en- 
tete inclut des informations sur l'objectif du script, la date de sa derniere mise a jour, ainsi 
que le nom de son auteur. Les parametres du script viennent ensuite : 

################################################## 

# ProvisionWebFolders . ps1 

# Ce script cree le dossier Web des nouveaux utilisateurs . 
# 

# Cree le : 12/09/2006 

# Auteur : Tyson Kopczynski 

################################################## 

param( [string] $TemplatePath = $(throw write-host 

"Veuillez preciser le chemin du modele source de la structure de dossiers" 

"a copier." -Foregroundcolor Red), [string] $ImportFile = $(throw 'write-host 
"Veuillez preciser le nom du fichier CSV a importer." '-Foregroundcolor Red)) 

Notez l'utilisation du mot cle throw dans la declaration param. II genere une erreur lorsqu'un 
argument de parametre n'est pas precise. Cette technique impose la definition d'un parame- 
tre en arretant l'execution du script et en affichant a l'utilisateur des informations concernant 
le parametre requis, avec l'applet de commande Write -Host. Cette applet accepte un parame- 
tre Foregroundcolor, qui fixe lacouleur du texte affiche. Cette fonctionnalite permet d'attirer 
1' attention sur des details de l'etat du script (voir Figure 6.3). 
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T C:\WINDOWS\system32\WindowsPoweiShellW1 .0\PowerShell.exe 



.Sinconnu.csu 



Prou is io n We bFo lde rs 



Her if ic at ion du chemin des no deles [OK] 

Uerification du fichier importe .\inconnu.csu n'est pas un fichier ualide ? 
ScriptHalted 

ftu niveau de C:\Scripts\ProuisionUebFolders.psl : 111 Caractere : 10 

+ throw <<<< write-host 't "$InportFile n'est pas un fichier ualide ?" -Fo 

regroundcolor Red 

PS C:\Scripts> 




BED 



Figure 6.3 

Texte affiche en vert et en rouge sur la console pour indiquer I'etat du script. 

Ensuite, le script place les fonctions de gestion du systeme de fichiers dans sa portee. II est 
inutile de les expliquer plus en detail car elles ont deja ete decrites precedemment : 

################################################## 

# Fonctions. 

################################################## 
# 

# Clear-Inherit 
# 

# Usage : Se proteger contre les regies d'acces heritees et 

# retirer toutes les regies heritees indiquees. 

# $0bject : Le chemin du dossier ou du fichier ("c:\monDossier" ou 

# "c:\monFichier.txt"). 



function Clear-Inherit{ 
param ($0bject) 



$SD = get-acl $0bject 

$SD.SetAccessRuleProtection($True, $False) 
set-acl $0bject $SD 
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# Set -Owner 



# Usage : 

# SObject : 
# 

# $Identity 
# 




Fixer le proprietaire d'un dossier ou d'un fichier. 
Le chemin du dossier ou du fichier ("c:\monDossier" ou 
"c : \monFichier . txt " ) . 

Norn d ' utilisateur ou de groupe ( "Administrateurs" ou 
"monDomaine\utilisateur1 " ) . 



function Set-0wner{ 

param ($Object, 



# Obtenir 1' element a modifier. 
$Item = get-item $0bject 

# Fixer son proprietaire. 
$SD = $ltem.GetAccessControl( ) 
$SD.SetOwner($Identity) 
$ltem.SetAccessControl($SD) 

} 



# Add -ACE 

# 

# 
# 
# 
# 
# 
# 
# 
# 




Usage : 
$Object : 

$Identity : 

$AccessMask 



$Type 



Accorder des droits a un dossier ou un fichier. 

Le chemin du dossier ou du fichier ("c:\monDossier" ou 

"c : \monFichier . txt " ) . 

Norn d ' utilisateur ou de groupe ("Administrateurs" ou 
"monDomaine\utilisateur1 " ) . 

Les droits a utiliser pour la creation de la regie d'acces 
( "FullControl" , "ReadAndExecute, Write", etc.). 
Accorder ou refuser les droits ("Allow" ou "Deny"). 



function Add-ACE{ 
param ($0bject, 

[ System. Security. Principal. NTAccount]$Ident it y, 

[System. Security .AccessControl.FileSystemRights]$AccessMask, 

[System. Security .AccessControl.AccessControlType]$Type) 

$lnr 



SInheritanceFlags = 

[System.Security .AccessControl. Inherit anceFlags] 
"Container Inherit , Ob] ect Inherit " 
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$PropagationFlags = 

[System. Security .AccessControl.PropagationFlags] "None" 



# Obtenir le descripteur de securite de l'objet. 
$SD = get-acl $0bject 

# Ajouter les regies d'acces. 
$Rule = new-object 

System. Security .AccessControl. FileSystemAccessRule (SIdentity , 
$AccessMask, SInheritanceFlags, SPropagationFlags , $Type) 



$SD.AddAccessRule($Rule) 
set-acl SObject $SD 



Le prochain exemple de code commence la partie d' automation du script. Tout d'abord, il 
verifie si la chaine contenue dans la variable $TemplatePath correspond a un chemin de 
dossier valide, puis si la variable $lmportFile designe un chemin de fichier valide. Pour 
realiser ces tests, les instructions if . . . then utilisent l'applet de commande Test - Path. Cette 
applet tres pratique permet de verifier si un dossier ou un fichier (-pathType container ou 
leaf) est valide. Si l'un des chemins n'est pas valide, l'execution du script est arretee et des 
informations concernant les chemins invalides sont affichees a l'operateur de script : 



################################################## 
# Code principal. 

################################################## 

write - host " " 

write-host "- ProvisionWebFolders 

write -host " " 

write - host 

write-host "Verification du chemin des modeles" -NoNewLine 

if (! (test -path STemplatePath -pathType container))! 

throw write-host ~t "STemplatePath n'est pas un repertoire valide ! 
-Foregroundcolor Red 

} 

else { 

write-host 't "[OK]" -Foregroundcolor Green 
} 



write-host "Verification du fichier importe" -NoNewLine 
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Puis, nous definissons les autres variables employees dans le script. La premiere, $0wner, 
definit le proprietaire de l'arborescence du dossier Web de chaque utilisateur, qui, dans ce 
cas, est le groupe local Administrateurs. Ensuite, nous definissons la variable $Targets a 
l'aide de l'applet de commande Import -Csv, laquelle permet de lire des valeurs depuis un 
fichier CSV importe ($lmportFile) dans la variable $Targets, qui sert ensuite a creer les 
dossiers Web des nouveaux utilisateurs : 



# 

# Definir les variables. 

# 

$0wner = "Administrateurs" 
$Targets = import -csv $ImportFile 



Dans le code suivant, le script utilise le chemin et l'utilisateur indiques dans la variable 
$Targets pour construire le chemin final, en invoquant l'applet de commande Join -Path. 
Puis, l'applet Copy -Item copie les dossiers modeles vers le chemin de destination : 



# Creer les dossiers Web. 

# 

write-host 

write-host "Creation des dossiers Web 




foreach ($Target in $Targets){ 

$Path = join-path $Target . DestPath $Target .UserName 
$UserName = $Target . UserName 

write-host $Path 

if ( ! (test-path $Path) ){ 
copy-item $TemplatePath -Destination $Path -Recurse 
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-ErrorVariable Err -ErrorAction SilentlyContinue 

if (!$Err){ 

write-host " Dossier " -NoNewLine 

write-host "[COPIE]" -Foregroundcolor Green 



# Pour arreter les boucles. 
$Err = $False 



Ensuite, la fonction Set -Owner definit le groupe local Administrateurs comme proprietaire de 
l'arborescence du dossier Web de l'utilisateur : 

■{ 

trap{write-host "[ERREUR] Impossible de changer de proprietaire !" 
-Foregroundcolor Red; 
$Script:Err = $True; 
Continue} 

# Fixer le proprietaire. 

write-host " SetOwner pour $Owner " -NoNewLine 

Set -Owner $Path $0wner 

if ($Err -eq $False){ 

$Items = get-childitem $Path -Recurse 
[void] ($ltems I f oreach -obj ect 

{Set -Owner $_.FullName $0wner}) 

} 

else{ 

# Arreter la boucle. 

Continue 

} 

write-host "[OK]" -Foregroundcolor Green 



Vous vous demandez peut-etre pourquoi le code de Set -Owner est place a l'interieur d'un 
bloc de script. L' operate ur d'appel point (.) qui precede le bloc de script demande a 
PowerShell d'executer ce bloc au sein de la portee courante. S'il n'etait pas utilise, PowerShell 
n'executerait pas le bloc de script. En creant un bloc de script independant pour gerer l'appel 
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a Set - Owner, nous nous assurons que la portee de l' instruction trap est limitee a ce bloc de 
code. Cette technique de controle de la portee de trap sera souvent employee dans ce livre. 



■{ 



trap{write -host "[ERREUR] Impossible d'ajouter des droits !' 
-Foregroundcolor Red; 
$Script:Err = $True; 
Continue} 

# Ajouter le groupe Administrateurs. 

write-host " AddACE pour Administrateurs " -NoNewLine 

Add -ACE $Path "Administrateurs" " FullControl" "Allow" 

if ($Err -eq $False){ 

write-host "[OK]" -Foregroundcolor Green 
} 

else{ 

# Arreter la boucle. 

Continue 

} 



trap{write-host "[ERREUR] Impossible d'effacer les 
autorisations heritees !" -Foregroundcolor Red; 

$Script:Err = $True; 

Continue} 

# Effacer les autorisations heritees. 
write-host " Clearlnherit " -NoNewLine 

Clear- Inherit $Path 



if ($Err -eq $False){ 

write-host "[OK]" -Foregroundcolor Green 
} 

else{ 

# Arreter la boucle. 
Continue 
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Comme nous l'avons mentionne precedemment, la fonction Clear-lnherit supprime les 
autorisations heritees pour le dossier racine, ses sous-dossiers et ses fichiers, ainsi que les 
autorisations explicitement definies sur tous les sous-dossiers et les fichiers. Si le groupe 
Administrateurs n'avait pas defini explicitement des droits sur le dossier racine, la suite du 
script ne s'executerait pas par manque de droits. 



Les autorisations definies explicitement sont celles qui sont specifiees directement pour un 
utilisateur sur un objet. Les autorisations definies implicitement sont celles qui sont heritees 
ou definies par I'appartenance a un groupe. 



Dans le dernier exemple de code, l'autorisation FullControl surle dossier Web de 1' utilisateur est 
donnee a SYSTEM et a 1' utilisateur. Pour finir, le script signale a l'operateur la fin de son travail : 

# Aj outer SYSTEM. 

write-host " AddACE pour SYSTEM " -NoNewLine 

if ((Add-ACE $Path "SYSTEM" " FullControl" "Allow") -eq $True){ 
write-host "[OK]" -Foregroundcolor Green 
} 

# Ajouter 1 ' utilisateur . 

write-host " AddACE pour SUserName " -NoNewLine 

if ((Add-ACE $Path $UserName "FullControl" "Allow") -eq $True){ 
write-host "[OK]" -Foregroundcolor Green 
} 

} 

else { 

write-host " Dossier " -NoNewLine 

write-host "Erreur :" $Err -Foregroundcolor Red 

} 

} 

else { 

write-host " Dossier " -NoNewLine 

write-host "[EXISTE]" -Foregroundcolor Yellow 

} 

write-host 
} 



write-host "Termine 



les dossiers Web ont ete crees 



178 Partie2 



Appliquer ses connaissances a PowerShell 



En resume 

Ce chapitre s'est attache a decrire la gestion du systeme de fichiers de Windows quand on 
utilise WSH et PowerShell. Meme si ces deux solutions de scripts disposent de methodes de 
gestion du systeme de fichiers, le fournisseur FileSystem de PowerShell permet de mettre en 
oeuvre une methode de type source de donnees. Lors du developpement de vos prochains 
scripts ou de l'utilisation de PowerShell depuis la console, vous remarquerez sans doute que 
la methode de PowerShell apporte une plus grande liberte d'acces, de consultation et de 
manipulation du systeme de fichiers. 

Vous avez pu comprendre les differences entre WSH et PowerShell, quant a la manipulation 
du systeme de fichiers de Windows. Ce chapitre a egalement explique la gestion des autori- 
sations lorsque ces deux interfaces de scripts sont utilisees. Vous pensiez peut-etre que la 
manipulation des autorisations au travers de ces interfaces etait une tache difficile. Meme si 
c'est un peu vrai, vous devez a present reconnaitre qu'elle est loin d'etre insurmontable. La 
gestion des autorisations a l'aide d'un script d' automation peut devenir un outil tres puissant. 
Par exemple, vous pouvez developper des scripts qui imposent des autorisations en fonction 
d'une strategie definie, qui verifient si les autorisations respectent un modele ou recherchent 
des instances sur lesquelles un utilisateur ou un groupe possede des droits. 
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PowerShell et le Registre 

Dans ce chapitre 

■ Introduction 

■ Gerer le Registre depuis WSH et PowerShell 
B De VBScript a PowerShell 

Introduction 

Ce chapitre s'interesse a la gestion du Registre de Windows depuis PowerShell. Pour cela, il 
presente des exemples detailles fondes sur WSH (Windows Script Host) et sur PowerShell. 
lis sont donnes sous ces deux formes afin que vous puissiez passer a PowerShell en benefi- 
ciant de votre experience de l'ecriture de scripts pour Windows. Outre la comparaison des 
exemples, ce chapitre propose tout un ensemble de fonctions opera tionnelles pour la gestion 
du Registre. L'objectif est de dormer au lecteur la possibility d'appliquer les techniques de 
scripts PowerShell a des besoins d'automation reels. 

Gerer le Registre depuis WSH et PowerShell 

WSH fournit un objet pour la manipulation des applications en cours d' execution, le lance - 
ment de nouvelles applications, la creation de raccourcis, la creation de menus contextuels, 
la gestion des variables d'environnement, la journalisation des evenements et meme l'acces 
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ou la modification du Registre local. Pour ces dernieres operations, l'objet WshShell offre 
trois methodes : 

■ RegDelete supprime une cle ou l'une de ses valeurs du Registre. 

■ RegRead lit le contenu de la valeur indiquee depuis le Registre. 

■ RegWrite cree de nouvelles cles, ajoute une nouvelle valeur nommee a une cle existante 
ou modifie une valeur nommee existante. 

L'utilisation de l'objet WshShell et de ses methodes de manipulation du Registre est simple. 
II s'agit d'un objet COM et, en tant que tel, il peut etre cree a l'aide de la methode 
CreateOb j ect ( ) de WSH. Une fois cette operation effectuee, les methodes du registre de cet 
objet peuvent etre invoquees comme n'importe quelle autre methode dans WSH. 

Dans PowerShell, l'acces au Registre se fait differemment. Comme nous l'avons explique au 
Chapitre 3, "Presentation avancee de PowerShell", PowerShell dispose d'un fournisseur 
integre, Registry, qui permet d'acceder au Registre et de le manipuler sur la machine locale. 
Les ruches du Registre accessibles au travers de ce fournisseur sont HKE Y_LOCAL_MACH I N E 
(HKLM) et HKEY_CURRENT_USER (HKCU). Elles sont representees par deux objets PSDrive supple - 
mentaires nommes HKLM: et HKCU:. 



— Info 

L'objet WshShell n'est pas limite aux ruches HKLM: et HKCU: . II permet egalement d'acceder a 
HKEY_CLASSES_ROOT (HKCR), HKEYJJSERS et HKEY_CURRENT_C0NFIG. Pour manipuler ces ruches 
depuis PowerShell, il faut employer I'applet de commande Set -Location afin de modifier 
I'emplacement de la racine du fournisseur Registry. 



Le Chapitre 3 a egalement explique que l'utilisation du fournisseur Registry signifie que 
PowerShell traite les donnees des objets HKLM: et HKCU: comme n'importe quel magasin de 
donnees hierarchique. Par consequent, la manipulation des donnees de ces PSDrive ne peut 
se faire qu'avec les applets de commande principales de PowerShell : 



PS C:\> set-location hkcu: 
PS HKCU:\> get-childitem 

Hive: Microsoft. PowerShell. Core\Registry : : HKEY_CURRENT_USER 
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SKC VC 


Name 


Property 


2 0 


AppEvents 


{} 


2 32 


Console 


{ColorTable00, ColorTableOl , ColorTab. . . 


24 1 


Control Panel 


{Opened} 


0 2 


Environment 


{TEMP, TMP} 


1 6 


Identities 


{Identity Ordinal, Migrated5, Last Us... 


4 0 


Keyboard Layout 


{} 


3 1 


Printers 


{DeviceOld} 


32 1 


Software 


{(default)} 


0 0 


UNICODE Program Groups 


{} 


2 0 


Windows 3.1 Migration Status 


{} 


0 1 


Session Information 


{ProgramCount} 


0 8 


Volatile Environment 


{LOGONSERVER, HOMESHARE, HOMEPATH, US... 


PS HKCU: 


:\> get-itemproperty 'Volatile 


Environment ' 


PSPath 


: Microsoft. PowerShell.Core\Registry: :HKEY_CURRENT_USER\Volatile 




Environment 




PSParentPath : Microsoft. PowerShell.Core\Registry: : HKEY_CURRENT_USER 


PSChildName : Volatile Environment 




PSDrive 


: HKCU 




PSProvider : Microsoft. PowerShell.Core\Registry 


LOGONSERVER : WSOL 




HOMESHARE : \ \taosage . internal\homes\tyson 


HOMEPATH : \ 




USERDNSDOMAIN : TAOSAGE . INTERNAL 




CLIENTNAME : 




SESSIONNAME : Console 




APPDATA 


: C:\Documents and Settings\tyson\Application Data 


HOMEDRIVE : U: 




PS HKCU: 


:\> 





Grace aux applets de commande principales de PowerShell, nous pouvons manipuler le 
Registre local, tout comme avec les methodes de Registre de l'objet WshShell. Cependant, la 
syntaxe et la methodologie sont un tantinet differentes. Dans WSH, nous creons un objet puis 
nous utilisons ses methodes pour intervenir sur le Registre. Dans PowerShell, nous accedons 



182 Partie2 



Appliquer ses connaissances a PowerShell 



au Registre et nous le manipulons de la me me maniere que le systeme de fichiers. Par exem- 
ple, pour lire une valeur du Registre en WSH, nous invoquons la methode RegRead : 




Dim objWS 

Set objWS = CreateObject("WScript. Shell") 



strKey = " HKEY_LOCAL_MACHINE\Sof tware\Microsof t \Windows NT\CurrentVersion\ " 
WScript.Echo objWS. RegRead(strKey & "ProductName" ) 



Dans PowerShell, il suffit d'utiliser Get-ltemProperty 



PS C:\> $Chemin = " HKLM : \Sof tware\ Microsoft \Windows NT\CurrentVersion" 
PS C:\> $Cle = get-itemproperty $Chemin 
PS C:\> $Cle . ProductName 
Microsoft Windows XP 
PS C:\> 



La creation ou la modification d'une valeur du registre dans WSH se font avec la methode 
RegWrite : 



Dim objWS 

Set objWS = CreateObject("WScript. Shell") 




StrKey = " HKEY_CURRENT_USER\Sof tware\ " 
objWS. RegWrite strKey & "PSinfo", "Vive_PowerShell" 
WScript.Echo objWS. RegRead(strKey & "PSinfo") 



Dans PowerShell, la meme operation emploie l'applet Set - itemProperty 



PS C:\> $Chemin = "HKCU: \Software" 

PS C:\> set-itemproperty -path SChemin -name "PSinfo" -type "String" -value 
"Vive_PowerShell" 

PS C:\> 

PS C:\> $Cle = get-itemproperty SChemin 
PS C: \> $Cle. PSinfo 
Vive_PowerShell 
PS C:\> 
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N'oubliez pas que le Registre de Windows gere differents types de valeurs. Set - itemProperty 
accepte le parametre Type pour la creation ou la modification des valeurs du Registre. Les 
bonnes pratiques conseillent de toujours definir explicitement les valeurs lors de l'utilisation 
de Set -ItemProperty. Sinon, l'applet de commande donne a la valeur le type par defaut, 
c'est-a-dire String. Voici les autres types existants : 

■ ExpandString ; 

■ Binary ; 

■ DWord ; 

■ MultiString ; 

■ Qword. 




La valeur des donnees doit etre dans le format qui correspond a la valeur du Registre en 
cours de creation ou de modification. Par exemple, si la valeur du registre est de type REG_ 
BINARY, vous devez utiliser une valeur binaire, comme $Bin = 101, 118, 105. 



Pour supprimer une valeur du Registre dans WSH, la methode RegDelete doit etre invoquee : 
Dim objWS 

Set objWS = CreateObject("WScript. Shell") 
strKey = "HKEY_CURRENT_USER\Software\ " 
objWS. RegDelete strKey & "PSinfo" 



Dans PowerShell, cette operation est realisee par l'applet de commande Remove - ItemProperty : 



PS C:\> SChemin = "HKCU: \Software" 

PS C:\> remove -itemproperty -path $Chemin -name "PSinfo" 
PS C:\> 
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Ces exemples illustrent la maniere d'acceder au Registre. Elle reste assez simple, a partir du 
moment ou nous avons compris comment utiliser les applets de commande principales et 
n'oublions pas qu'elle ressemble enormement a l'acces au systeme de fichiers de Windows. 

Cependant, aucune applet ne permet d'acceder au Registre d'une machine distante. Cette 
absence est tout a fait comprehensible, car il n'existe aucun fournisseur PowerShell pour 
acceder a des magasins de donnees distants. En attendant que quelqu'un ecrive un fournis- 
seur permettant de gerer a distance un Registre, nous devons nous tourner vers une methode 
alternative existante, comme l'explique la section suivante. 

De VBScript a PowerShell 

Cette section detaille un script VBScript qui permet de lire et de manipuler le Registre, puis 
sa conversion en PowerShell. La societe companyabc.com etait en cours d' evaluation de 
l'efficacite de son service informatique. Lors de l'analyse des developpements des scripts 
d' automation, les evaluateurs ont note une repetition de certaines taches dans de nombreux 
scripts. Ces taches incluaient la creation des comptes d'utilisateurs, la definition des informa- 
tions des comptes, la gestion a distance des machines, la mise en ceuvre des activites de 
maintenance, etc. 

L'equipe d' evaluation a conclu que le regroupement du code repetitif dans une bibliotheque 
reutilisable permettrait de reduire le temps necessaire au developpement des scripts. Cette 
methode simple consiste a ecrire une fonction ou un script generique qui realise une tache 
frequente, comme la generation d'un mot de passe aleatoire. Lorsqu'un nouveau script a 
besoin de cette operation, il n'est plus necessaire d'ecrire du code. Dans WSH et PowerShell, 
il suffit d'inclure ou de charger le fichier de la bibliotheque correspondante dans le script ou 
depuis la console. 

Les exemples de scripts donnes ici incluent un ensemble de fonctions permettant de lire et de 
modifier le Registre sur une machine locale ou distante. lis ont ete developpes pour l'entre- 
prise companyabc.com. Pour utiliser ces fonctions, les programmeurs peuvent simplement 
les copier dans un script ou les appeler depuis une bibliotheque qui a ete incluse ou chargee 
dans le script. 

Outre la diminution des temps de developpement des scripts, l'emploi d'un code reutilisable 
enregistre dans un fichier de bibliotheque permet d'obtenir du code plus normalise et inter- 
changeable. En realite, Jeffrey Snover, l'architecte de PowerShell, a souvent recommande 
cette bonne pratique pour l'ecriture de scripts. 
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Le script LibraryRegistry.vbs 

LibraryRegistry . vbs est un fichier VBScript qui fournit des fonctions de lecture et de 
modification du Registre sur la machine locale ou une machine distante. Vous le trouverez 
dans le dossier Script s\ Chapitre 7 \ LibraryRegistry et vous pouvez le telecharger depuis 
le site www.pearsoneducation.fr. Pour l'utiliser dans un autre script, il doit etre inclus 
dans celui-ci. Ensuite, le script appelant a acces aux fonctions, aux routines, aux constan- 
tes, etc., definies dans le fichier inclus. 

Dans VBScript, il existe deux methodes pour inclure un fichier de script dans un autre. La 
premiere ne fonctionne qu'avec les fichiers VBScript (.vbs) et repose sur l'instruction 
ExecuteGlobal. Cette instruction attend une valeur de type chaine et l'execute comme une 
instruction VBScript dans l'espace de noms global du script. Celui-ci peut ensuite acceder au 
contenu de la valeur chaine. Le code suivant illustre cette procedure : 



' Methode pour inclure des fichiers VBScript. 
Sub include(strFileName) 
On Error Resume Next 

Dim objFSO, objFile, strScript 

Set objFSO = CreateObject( "Scripting. FileSystemObject" ) 

If objFSO. FileExists(strFileName) Then 

Set objFile = objFSO. OpenTextFile(strFileName) 
strScript = obj File . ReadAll 
objFile. Close 

ExecuteGlobal strScript 
End If 

Set objFSO = Nothing 
Set objFile = Nothing 
End Sub 



Cette methode presente cependant plusieurs inconvenients. Tout d'abord, nous risquons 
d'ecraser des variables et des fonctions globales au moment de l'execution. Deuxiemement, 
il n'existe aucune bonne maniere de deboguer le contenu de la chaine passee a ExecuteGlobal. 
En effet, cette valeur n'est qu'une chaine qui est executee. Troisiemement, VBScript n'offre 
aucune instruction d'inclusion officielle et cette methode n'est qu'une solution de rechange. 
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Pour routes ces raisons, l'instruction ExecuteGlobal n'est pas une solution conseillee pour 
inclure des fichiers dans un script. La methode plus fiable et robuste consiste a passer par un 
fichier WSF, car ce format prend en charge les instructions d'inclusion : 

<job> 

<script src="MaBibliotheque. js" language="JScript " /> 
<script language=" vbscript"> 

strEvent = "C'est les vacances !" 

strDate = GetCalendarDate(strEvent) 
WScript.Echo strDate 

</script> 
</job> 



Comme le montre cet exemple, une tache VBScript dans un fichier WSF peut parfaitement 
inclure un fichier JScript. L' operation inverse est egalement possible ; une tache JScript peut 
inclure un fichier VBScript. II est egalement possible d'incorporer les deux types de fichiers 
dans un script ou de creer un seul fichier WSF qui effectue plusieurs taches en utilisant des 
langages (moteurs) differents pour chacune. Quelle que soit la methode choisie, apres avoir 
inclus un fichier de script, nous avons acces a ses fonctions, ses constantes, ses routines, etc. 
depuis notre script. 

Chaque fonction du script LibraryRegistry . vbs utilise la classe WMI StdRegProv, qui se 
trouve dans l'espace de noms root \ default. Elles offrent des methodes permettant de lire et de 
manipuler les cles et les valeurs du Registre, dans le but d'effectuer les taches suivantes : 

■ verifier qu'un utilisateur dispose des autorisations indiquees ; 

■ creer, enumerer et supprimer des cles du Registre ; 

■ creer, enumerer et supprimer des valeurs du Registre ; 

■ obtenir ou actualiser un descripteur de securite pour une cle du Registre (uniquement 
dans Vista ou Longhorn). 

La suite de cette section donne des exemples de code qui illustrent les fonctions de 
LibraryRegistry . vbs. 
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La fonction ReadRegValue : 



ReadRegValue 



Function ReadRegValue(strComputer, strKeyPath, strValueName, strType) 
On Error Resume Next 

const HKEY_LOCAL_MACHINE = &H80000002 

Set objReg = GetObject ( "winmgmts : {impersonationLevel=impersonate} ! \\ " 
& strComputer & " \root\def ault :StdRegProv" ) 

If strType = "BIN" Then 

objReg. GetBinaryValue HKEY_LOCAL_MACHINE , strKeyPath,_ 
strValueName, arrValue 

ReadRegValue = arrValue 
End If 

If strType = "DWORD" Then 

objReg.GetDWORDValue HKEY_L0CAL_MACHINE, strKeyPath,_ 
strValueName, strValue 

ReadRegValue = strValue 
End If 

If strType = "EXP" Then 

objReg. GetExpandedStringValue HKEY_LOCAL_MACHINE , strKeyPath, _ 
strValueName, strValue 

ReadRegValue = strValue 
End If 

If strType = "MULTI " Then 

objReg. GetMultiStringValue HKEY_LOCAL_MACHINE , strKeyPath, _ 
strValueName, arrValue 

ReadRegValue = arrValue 
End If 

If strType = "STR" Then 

objReg. GetStringValue HKEY_LOCAL_MACHINE, strKeyPath,_ 
strValueName, strValue 

ReadRegValue = strValue 
End If 
End Function 
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La fonction ReadRegValue retoume la valeur de donnee du Registre qui correspond aux 
valeurs nominees de la ruche HKEY_L0CAL_MACHINE. Elle attend les parametres suivants : 

■ strComputer. Le nom ou l'adresse IP de l'ordinateur dont nous voulons examiner le 
Registre ; "." designe la machine locale. 

■ strKeyPath. Le chemin de la cle qui contient la valeur du Registre. 

■ strValueName. Le nom de la valeur du Registre dont nous voulons obtenir les donnees. 

■ strType. Une chaine qui represente le type de la valeur du Registre dont nous voulons 
obtenir les donnees, comme BIN (REG_BINARY), DWORD (REG_DW0RD), EXP (REG_EXPAND_SZ), 
MULTI (REG_MULTI_SZ) et STR (REG_SZ). 

En fonction de la valeur de strType, la fonction ReadRegValue invoque la methode StdRegProv 
adequate pour retrouver les donnees de la valeur du Registre indiquee. Les donnees retour- 
nees peuvent etre sous la forme d'une chaine de caracteres, d'un entier ou d'un tableau. Elles 
doivent etre traitees conformement au type de la valeur du Registre lue. Par exemple, si la 
valeur est de type REG_BINARY, les donnees retournees par ReadRegValue se trouvent dans un 
tableau qui contient des valeurs binaires. Pour les lire, nous devons parcourir le tableau de la 
maniere suivante : 



Set StdOut = WScript.StdOut 

strServer = "serverxyz.companyabc.com" 






binValue = ReadRegValue(strServer, "SOFTWARE\Turtle_Worm" , 


"binValue" , 


"BIN" ) 


StdOut. WriteLine "Valeur BIN :" 
For i = lBound(binValue) to uBound (binValue) 
StdOut. WriteLine binValue(i) 

Next 







La fonction CreateRegKey : 

Function CreateRegKey (strComputer, strKeyPath) 
On Error Resume Next 

const HKEY_LOCAL_MACHINE = &H80000002 

Set objReg = GetObj ect ( "winmgmts : {impersonationLevel=impersonate} ! \ \ " & 
strComputer & " \root\def ault :StdRegProv" ) 
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La fonction CreateRegKey cree une cle dans la ruche H KE Y_LOCAL_MACH I N E. Elle attend les 
parametres suivants : 

■ st rComputer. Le nom ou 1' adresse IP de l'ordinateur sur lequel nous voulons creer la cle ; 
"." designe la machine locale. 

■ strKeyPath. Le chemin de la nouvelle cle du Registre. 
Voici un exemple d' utilisation de cette fonction : 

strServer = "serverxyz.companyabc.com" 
CreateRegKey strServer, " SOFTWARE \Turtle_Worm" 

La fonction CreateRegValue : 

Function CreateRegValue(strComputer, strKeyPath,_ 

strValueName, strvalue, strType) 

On Error Resume Next 

const HKEY_LOCAL_MACHINE = &H80000002 

Set obj Reg = GetObject ( "winmgmts : {impersonationLevel=impersonate} ! \\ " &_ 
strComputer & " \ root\def ault :StdRegProv" ) 

If strType = "BIN" Then 

objReg.SetBinaryValue HKEY_LOCAL_MACHINE, strKeyPath,_ 
strValueName, strValue 

End If 

If strType = "DWORD" Then 

objReg.SetDWORDValue HKEY_L0CAL_MACHINE, strKeyPath,_ 
strValueName, strValue 

End If 

If strType = "EXP" Then 

objReg.SetExpandedStringValue HKEY_LOCAL_MACHINE, strKeyPath, 
strValueName, strValue 
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End If 

If strType = "MULTI " Then 

ObjReg.SetMultiStringValue HKEY_LOCAL_MACHINE , 
strValueName , strValue 

End If 

If strType = "STR" Then 



strKeyPath,_ 



objReg.SetStringValue HKEY_LOCAL_MACHINE, strKeyPath, 
strValueName, strValue 

End If 
End Function 



La fonction CreateRegValue cree ou modifie une valeur du Registre dans la ruche HKEY_ 
LOCAL MACHINE. Elle attend les parametres suivants : 

■ strComputer. Le nom ou l'adresse IP de l'ordinateur sur lequel nous voulons creer ou 
modifier une valeur du Registre ; "." designe la machine locale. 

■ strKeyPath. Le chemin de la cle qui contient la valeur du Registre. 
strValueName. Le nom de la valeur du Registre que nous voulons creer ou modifier. 

■ strValue. Le nouveau contenu de la valeur du Registre. 

a strType. Une chaine qui represente le type de la valeur du Registre que nous voulons 
creer ou modifier, comme BIN (REG_BINARY), DWORD (REG_DW0RD), EXP (REG_EXPAND_SZ), 
MULTI (REG_MULTI_SZ) et STR (REG_SZ). 

La valeur passee dans le parametre strValue depend du type de la valeur du Registre que 
nous creons ou modifions. Si la valeur est de type REG BINARY, celle passee a la fonction 
CreateRegValue doit etre un tableau contenant des valeurs binaires. Pour le type REG_MULTI_ 
SZ, la valeur doit etre un tableau contenant des chaines de caracteres. Pour REG SZ et REG_ 
EXPAND SZ, les valeurs doivent prendre la forme d'une chaine de caracteres. Cependant, avec 
REG EXPAND SZ, elle doit egalement inclure une variable d'environnement valide. Dans le cas 
contraire, la methode GetExpandedStringValue ne parviendra pas a developper la chaine lors 
de l'obtention de la valeur. Enfin, lors de la creation ou de la modification d'une valeur de 
type REG_DW0RD, il faut que la valeur passee a CreateRegValue soit un DWORD valide. 

Voici un exemple d'utilisation de cette fonction : 

Set StdOut = WScript.StdOut 

strServer = "serverxyz.companyabc.com" 

Multi = Array ( "PowerShell" , "est", "super !") 

CreateRegValue strServer, "SOFTWARE\Turtle_Worm" , "multiValue" , Multi, _ 
"MULTI" 
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La fonction DeleteRegKey : 

Function DeleteRegKey (strComputer, strKeyPath) 
On Error Resume Next 

const HKEY_LOCAL_MACHINE = &H80000002 

Set objReg = GetObject ( "winmgmts: {impersonationLevel=i[npersonate} ! \\ " & 
strComputer & " \root\def ault :StdRegProv" ) 

objReg.DeleteKey HKEY_L0CAL_MACHINE, strKeyPath 

End Function 



La fonction DeleteRegKey supprime une cle dans la ruche HKEY LOCAL MACHINE. Elle attend 
les parametres suivants : 

■ strComputer. Le nom ou l'adresse IP de l'ordinateur sur lequel nous voulons supprimer 
la cle ; "." designe la machine locale. 

■ strKeyPath. Le chemin de la cle du Registre a supprimer. 



La suppression d'une cle supprime egalement toutes les sous-cles et leurs valeurs. 



Voici un exemple d'utilisation de cette fonction : 

Set StdOut = WScript.StdOut 

strServer = "serverxyz.companyabc.com" 

DeleteRegKey strServer, " SOFTWARE \Turtle_Worm" 



La fonction DeleteRegValue : 



Function DeleteRegValue(strComputer, strKeyPath, strValueName) 
On Error Resume Next 

const HKEY LOCAL MACHINE = &H80000002 
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Set objReg = GetObject ( "winmgmts: {impersonationLevel=impersonate} ! \\ " &_ 
strComputer & " \root\def ault :StdRegProv" ) 

objReg.DeleteValue HKEY_L0CAL_MACHINE , strKeyPath, strValueName 

End Function 

La fonction DeleteRegValue supprime une valeur dans la ruche HKEY_L0CAL_MACHINE. Elle 
attend les parametres suivants : 

■ strComputer. Le nom ou l'adresse IP de l'ordinateur sur lequel nous voulons supprimer 
une valeur du Registre ; "." designe la machine locale. 

■ strKeyPath. Le chemin de la valeur du Registre. 

■ strValueName. Le nom de la valeur du Registre a supprimer. 

Voici un exemple d' utilisation de cette fonction : 



Set StdOut = WScript.StdOut 




strServer = "server1000" 




DeleteRegValue strServer, "SOFTWARE\Turtle_Worm" , 


"binValue" 



Le script LibraryRegistry.psI 

LibraryRegistry .ps1 est la version PowerShell du fichier VBScript LibraryRegistry . vbs. 
Vous le trouverez dans le dossier ScriptsVChapitre 7\LibraryRegistry et en telecharge- 
ment depuis le site www.pearsoneducation.fr. Avant d'utiliser cette bibliotheque dans une 
session PowerShell, vous devez la charger comme nous l'avons explique au Chapitre 3. Le 
format de la commande point est un point suivi d'un espace, puis du nom du fichier. Par 
exemple, . . \monScript.psl. Ainsi, pour charger LibraryRegistry.psI dans une session 
PowerShell, saisissez la commande suivante : 



PSC:\> . "D:\Scripts\LibraryRegistry.ps1" 



Cependant, cette procedure de chargement d'un script chaque fois que nous voulons utiliser 
l'une de ses fonctions est vite fastidieuse. Lorsqu'un fichier de script est charge avec la com- 
mande point, son contenu est place dans la portee globale de la session PowerShell en cours. 
Tout ce qui se trouve dans la portee globale disparait si nous fermons cette session et en 
ouvrons une nouvelle, et nous devons recharger le fichier de script a chaque nouvelle session. 
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Pour eviter ce probleme, nous pouvons utiliser un profil PowerShell afin de definir la confi- 
guration de la console PowerShell. Grace a un profil comme Profile. psl et en utilisant la 
commande point dans ce profil, nous pouvons charger des fichiers de script dans la portee 
globale chaque fois que nous demarrons une nouvelle session de console. Voici un exemple 
de fichier Profile. psl : 



. "D:\Scripts\LibraryRegistry 


psl " 




set -location C: \ 
els 






# Message de bienvenue. 
"Bienvenue dans votre session 


PowerShell : " 


+ $ENV:UserName 



LibraryRegistry .psl peut egalement etre lu par la commande point dans un fichier de 
script. Dans ce cas, PowerShell charge le fichier dans la portee du script appelant. N'oubliez 
pas que la portee parente d'un script peut etre une session PowerShell ou un autre script. 



Une fois le profil Profile . psl personnalise charge dans la session, l'invite de console ressem- 
ble a la suivante : 



Bienvenue dans votre session PowerShell : script_master_snover 
PS C:\> 



En recuperant les informations fournies par l'objet PSDrive Function, comme le montre 
l'exemple suivant, nous pouvons determiner si les fonctions du Registre definies dans 
LibraryRegistry. psl ont ete chargees dans la session PowerShell en cours : 



PS C:\> get-childitem Function: 

CommandType Name 

Function prompt 
Function TabExpansion 
Function Clear -Host 



Definition 

' PS ' + $ (Get -Location) + $(... 
SspaceType = [ System. Managem. . . 
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Function 


more 


param( [string[ ] ; 


ISpaths); if... 


Function 


help 


param ( [ string ] $Name , [ string [ . . . 


Function 


man 


param( [string ]$Name, [string! . . . 


Function 


mkdir 


param( [string[ ] ; 


ISpaths); New... 


Function 


md 


param( [string[ ] ; 


ISpaths); New... 


Function 


A: 


Set 


-Location A: 




Function 


B: 


Set 


-Location B: 




Function 


C: 


Set 


-Location C: 




Function 


W: 


Set 


-Location W: 




Function 


X: 


Set 


-Location X: 




Function 


Y: 


Set 


-Location Y: 




Function 


Z: 


Set 


-Location Z: 




Function 


Get-RegValue 


param($Computer, 


, SKeyPath, $. . . 


Function 


Set-RegKey 


param($Computer, 


, $KeyPath) $. . . 


Function 


Set-RegValue 


param($Computer : 


, SKeyPath, $. . . 


Function 


Remove -RegKey 


param($Computer, 


, SKeyPath) $. . . 


Function 


Remove -RegValue 


param($Computer, 


, SKeyPath, $. . . 


PS C:\> 











L'exemple precedent montre que nos cinq fonctions de manipulation du Registre peuvent 
etre employees dans la session PowerShell en cours. Nous allons a present les examiner. 

La fonction Get - RegValue : 



# 


# Get -RegValue 

u 


# Usage : 


Lire une valeur dans la ruche HKLM, sur une machine locale 


# 


ou distante. 


# SComputer : 


Norn de l'ordinateur. 


# SKeyPath : 


Chemin de la cle du registre 


# 


( "SYSTEM\CurrentControlSet\Control" ) . 


# SValueName : 


Norn de la valeur ( "CurrentUser" ) . 


# SType : 


Type de la valeur ("BIN", "DWORD", "EXP", "MULTI " ou "STR"). 


function Get -RegValue{ 


param (SComputer, SKeyPath, SValueName, SType) 
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$HKEY_LOCAL_MACHINE = 2147483650 

trap{write-host " [ERREUR] $_" -Foregroundcolor Red; Continue} 

$Reg = get -wmiobj ect -Namespace Root\Default -computerName 
SComputer -List I where-object 
{$_.Name -eq "StdRegProv" } 

if ($Type -eq "BIN"){ 

return $Reg .GetBinaryValue ($HKEY_LOCAL_MACHINE , $KeyPath, 
$ValueName) 

} 



elseif ($Type -eq "DWORD" ){ 

return $Reg . GetDWORDValue ($HKEY_LOCAL_MACHINE , $KeyPath, 
$ValueName) 

} 

elseif ($Type -eq "EXP"){ 

return $Reg.GetExpandedStringValue($HKEY_LOCAL_MACHINE, ' 
$KeyPath, $ValueName) 

} 

elseif ($Type -eq "MULTI"){ 

return $Reg .GetMultiStringValue ($HKEY_LOCAL_MACHINE , 
$KeyPath, $ValueName) 

} 

elseif ($Type -eq "STR"){ 

return $Reg . Get St ringValue ( $HKEY_LOCAL_MACH I NE , ' 
$KeyPath, $ValueName) 

} 



La fonction Get-RegValue retrouve dans le Registre la valeur qui correspond aux valeurs 
nominees sous la ruche HKEY LOCAL MACHINE. Elle attend les parametres suivants : 

■ $Computer. Le nom ou l'adresse IP de l'ordinateur dont nous voulons examiner le 
Registre ; "." designe la machine locale. 

■ $KeyPath. Le chemin de la cle qui contient la valeur du Registre. 

■ $ValueName. Le nom de la valeur du Registre dont nous voulons obtenir les donnees. 

■ $Type. Une chaine qui represente le type de la valeur du Registre dont nous voulons obte- 
nir les donnees, comme BIN (REG_BINARY), DWORD (REG_DW0RD), EXP (reg_expand_sz), multi 
(REG_MULTI_SZ) et STR (REG_SZ). 
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L'exemple suivant montre comment utiliser cette fonction : 



PS C: \> get-regvalue "Arus" " SOFTWARE \ Volt ron " "BlueLion" "BIN" 



La fonction Set -RegKey : 

# 

# Set -RegKey 
# 

# Usage : Creer ou fixer une cle dans la ruche HKLM sur une machine 

# locale ou distante. 

# $Computer : Norn de 1 1 ordinateur. 

# $KeyPath : Chemin de la cle du registre 

# ( "SYSTEM\CurrentControlSet\Control" ) . 

function Set-RegKey{ 

param ($Computer, SKeyPath) 

$HKEY_LOCAL_MACHINE = 2147483650 

trap{write-host "[ERREUR] $_" -Foregroundcolor Red; Continue} 

$Reg = get -wmiobj ect -Namespace Root\Default -computerName 
$Computer -List I where-object 
{$_.Name -eq "StdRegProv" } 

return $Reg . CreateKey ($HKEY_LOCAL_MACHINE , $KeyPath) 
} 



La fonction Set -RegKey cree une cle du Registre dans la ruche HKEY LOCAL MACHINE. Elle 
attend les parametres suivants : 

■ SComputer. Le nom ou l'adresse IP de l'ordinateur sur lequel nous voulons creer la cle ; 
"." designe la machine locale. 

SKeyPath. Le chemin de la nouvelle cle du Registre. 

Voici un exemple d' utilisation de cette fonction : 




PS C:\> set-regkey "Arus" " SOFTWARE Wolt ron" 
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La fonction Set -RegValue : 



# 



# Set -RegValue 
# 

# Usage : 
# 

# $Computer : 

# $KeyPath : 
# 

# $ValueName : 

# $Value : 

# $Type : 



Creer ou fixer une valeur dans la ruche HKLM, sur une machine 

locale ou distante. 

Norn de 1 1 ordinateur. 

Chemin de la cle du registre 

( "SYSTEM\CurrentControlSet\Control" ) . 

Nom de la valeur ( "CurrentUser" ) . 

Nouvelle valeur ("valeurl", Array, Integer). 

Type de la valeur ("BIN", "DWORD", "EXP", "MULTI " ou "STR"). 



function Set -RegValue{ 

param (SComputer, SKeyPath, $ValueName, $Value, $Type) 

$HKEY_LOCAL_MACHINE = 2147483650 

trap{write-host "[ERREUR] $_" -Foregroundcolor Red; Continue} 

$Reg = get-wmiobject -Namespace Root\Default -computerName 
SComputer -List I where -object 
{$_.Name -eq "StdRegProv" } 

if ($Type -eq "BIN"){ 

return $Reg . SetBinaryValue ($HKEY_LOCAL_MACHINE, SKeyPath, ' 
SValueName, $Value) 

} 

elseif ($Type -eq "DWORD" ){ 

return $Reg . SetDWORDValue ($HKEY_LOCAL_MACHINE , SKeyPath, ' 
SValueName, $Value) 

} 

elseif ($Type -eq "EXP"){ 

return $Reg.SetExpandedStringValue($HKEY_LOCAL_MACHINE, ' 
SKeyPath, SValueName, $Value) 

} 

elseif ($Type -eq "MULTI" ){ 

return $Reg . SetMult iSt ring Value ($HKEY_LOCAL_MACH I NE, ' 
SKeyPath, SValueName, $Value) 

} 

elseif ($Type -eq "STR"){ 

return $Reg . SetSt ring Value ($HKEY_LOCAL_MACH I NE, ' 
SKeyPath, $ValueName, $Value) 

} 



} 
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La fonction Set - RegValue cree ou modifie une valeur du Registre dans la ruche HKEY_LOCAL_ 
MACHINE. Elle attend les parametres suivants : 

■ SComputer. Le nom ou l'adresse IP de l'ordinateur sur lequel nous voulons creer ou modi- 
fier une valeur du Registre ; "." designe la machine locale. 

$KeyPath. Le chemin de la cle qui contient la valeur du Registre. 

■ $ValueName. Le nom de la valeur du Registre que nous voulons creer ou modifier. 

■ $Value. Le nouveau contenu de la valeur du Registre. 

■ $Type. Une chaine qui represente le type de la valeur du Registre dont nous voulons obte- 
nir les donnees, comme BIN (REG_BINARY), DWORD (REG_DW0RD), EXP (REG_EXPAND_SZ), MULTI 
(REG_MULTI_SZ) et STR (REG_SZ). 

Voici comment utiliser cette fonction : 



r 

PS 


c 


\> 


$Multi = "PowerShell", "est", "super !" 




^ 


PS 

k- 


c 


\> 


set-regvalue "Arus" " SOFTWARE \ Volt ron" "Lion_Statement" 


$Multi " 


MULTI " 



La fonction Remove -RegKey : 




# Remove -RegKey 

# 

# Usage : Supprimer une cle dans la ruche HKLM, sur une machine 

# locale ou distante. 

# $Computer : Nom de l'ordinateur. 

# $KeyPath : Chemin de la cle du registre 

# ( "SYSTEM\CurrentControlSet\Control" ) . 

function Remove -RegKey{ 

param ($Computer, SKeyPath) 

$HKEY_LOCAL_MACHINE = 2147483650 

trap{write-host "[ERREUR] $_" -Foregroundcolor Red; Continue} 

$Reg = get -wmiobj ect -Namespace Root\Default -computerName 
SComputer -List I where-object 
{$_.Name -eq "StdRegProv" } 

return $Reg . DeleteKey ($HKEY_LOCAL_MACHINE , $KeyPath) 
} 
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La fonction Remove - RegKey supprime une cle du Registre dans la ruche HKEY_L0CAL_MACHINE. 
Elle attend les parametres suivants : 

■ $Computer. Le nom ou l'adresse IP de l'ordinateur sur lequel nous voulons supprimer la 
cle ; "." designe la machine locale. 

■ $KeyPath. Le chemin de la cle du Registre a supprimer. 
Voici un exemple d'utilisation de cette fonction : 



PS C:\> remove -regkey "Arus" "SOFTWAREWoltron" 



La fonction Remove -RegValue : 



# Remove -RegValue 

# 




# Usage : Supprimer une valeur dans la ruche HKLM, sur une machine 

# locale ou distante. 

# $Computer : Nom de l'ordinateur. 

# $KeyPath : Chemin de la cle du registre 

# ( "SYSTEM\CurrentControlSet\Control" ) . 

# $ValueName : Nom de la valeur ( "CurrentUser" ) . 

function Remove -RegValue{ 

param ($Computer, SKeyPath, $ValueName) 

$HKEY_LOCAL_MACHINE = 2147483650 

trap{write-host "[ERREUR] $_" -Foregroundcolor Red; Continue} 

$Reg = get -wmiobj ect -Namespace Root\Default -computerName 
SComputer -List I where-object 
{$_.Name -eq "StdRegProv" } 

return $Reg . DeleteValue ($HKEY_L0CAL_MACHINE , $KeyPath, $ValueName) 
} 



La fonction Remove -RegValue supprime une valeur du Registre dans la ruche HKEY_LOCAL_ 
MACHINE. Elle attend les parametres suivants : 

■ SComputer. Le nom ou l'adresse IP de l'ordinateur sur lequel nous voulons supprimer une 
valeur du Registre ; "." designe la machine locale. 

$KeyPath. Le chemin de la cle qui contient la valeur du Registre. 

■ $ValueName. Le nom de la valeur du Registre que nous voulons supprimer. 
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Voici comment utiliser cette fonction : 



PS C:\> remove - regvalue "Arus" "SOFTWAREWoltron " " Lion_Statement " 



Utiliser la bibliotheque 

A present que les fonctions de manipulation du Registre developpees dans le script 
Li.braryRegistry.ps1 sont parfaitement comprises, nous pouvons les employer dans diffe- 
rentes situations. La premiere etape consiste a creer une cle de Registre nommee Turtle_ 
Worm sous la cle HKLM\Sof tware sur un controleur de domaine Active Directory appele DC1. 
Pour cela, saisissons la commande suivante : 



r 

PS C:\> set-regkey 


^ 

"DC1 " " SOFTWARE \Turtle_Worm " 


GENUS : 


2 


_CLASS : 


PARAMETERS 


SUPERCLASS : 




DYNASTY : 


PARAMETERS 


RELPATH : 




PR0PERTY_C0UNT : 


1 


DERIVATION : 


{} 


SERVER : 




NAMESPACE : 




PATH : 




ReturnValue : 


0 


PS C:\> 





La commande retourne un objet WMI qui ne contient aucune information. Si une erreur se 
produit, le gestionnaire defini dans la fonction affiche les informations concernant cette 
erreur, par exemple : 



r 

PS C:\> 


set 


-regkey 


"Pinky" " 


SOFTWARE \Turtle_Worm" 


[ERREUR] 


Le 


serveur 


RPC n'est 


pas disponible. (Exception de HRESULT: 0X800706BA) 


PS C:\> 








~< 
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Ensuite, nous invoquons les commandes suivantes pour creer des valeurs dans la cle de 
Registre TurtleJJVorm : 



r 

PS C:\> $Bin = 101, 118, 105, 10f 


3, 95, 116, 117, 114, 


116, 108, 


^ 

101 


PS C:\> set-regvalue „DC1 " „SOFTWARE\Turtle_Worm " „binValue" $Bin „BIN" 


GENUS : 2 








CLASS : PARAMETERS 








SUPERCLASS : 








DYNASTY : PARAMETERS 








RELPATH : 








PR0PERTY_C0UNT : 1 








DERIVATION : {} 








SERVER : 








NAMESPACE : 








PATH : 








ReturnValue : 0 








PS C:\> $Null = set-regvalue "DC1 " 


"SOFTWARE\Turtle_Worm" 


"dwordValue' 


' "1" "DWORD" 


PS C:\> $Null = set-regvalue "DC1 " 
system32\Turtle_Hacker.dll" "EXP" 


"SOFTWARE\Turtle_Worm" 


"expValue" ' 


'%SystemRoot%\ 


PS C:\> $Multi = "PowerShell", "est 


", "super !" 






PS C:\> $Null = set-regvalue "DC1 " 
"MULTI " 


"SOFTWARE\Turtle_Worm" 


"multiValue 1 


1 $Multi 


PS C:\> $Null = set-regvalue "DC1 " 
modification du Registre !" "STR" 


"SOFTWARE\Turtle_Worm" 


" st rvalue" 1 


'Fin de la 


PS C:\> 






- 



Ces etapes illustrent la creation d'une cle du registre et de ses valeurs. Ensuite, nous utilisons 
les fonctions de notre bibliotheque pour determiner si certaines valeurs existent. Pour cela, 
nous invoquons la fonction Get -RegValue : 



r 

PS C:\> get- 


regvalue 


"DC1 " " SOFTWARE \Turtle_Worm" 


"binValue" 


1 

"BIN" 


GENUS 


: 2 








_CLASS 




PARAMETERS 






SUPERCLASS 










DYNASTY 




PARAMETERS 






RELPATH 
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PR0PERTY_C0UNT : 


: 2 




DERIVATION : 


: {} 




SERVER 






NAMESPACE : 






PATH : 






ReturnValue : 


: 0 




uValue : 


: {101, 118, 105, 108...} 




PS C:\> get-regvalue "DC1" " SOFTWARE \Turtle_Worm" "dwordValue' 


' "DWORD" 


GENUS : 


; 2 




_CLASS 


: PARAMETERS 




SUPERCLASS : 






DYNASTY : 


; PARAMETERS 




RELPATH 






PROPERTY_COUNT : 


; 2 




DERIVATION 


: {} 




SERVER 






NAMESPACE : 






PATH : 






ReturnValue : 


; 0 




uValue : 


; 1 




PS C:\> get-regvalue "DC1" " SOFTWARE \Turtle_Worm" "expValue" ' 


'EXP" 


GENUS : 


; 2 




_CLASS : 


; PARAMETERS 




SUPERCLASS 






DYNASTY : 


; PARAMETERS 




RELPATH : 






PROPERTY_COUNT : 


: 2 




DERIVATION 


: {} 




SERVER : 






NAMESPACE : 






PATH : 






ReturnValue : 


; 0 




sValue 


: C: \WIND0WS\system32\Turtle_Hacker.dll 





Chapitre 7 



PowerShell et le Registre 203 



PS C:\> get-regvalue "DC1 " " SOFTWARE \Tu rt le 


Worm" "multiValue" "MULT I " 


GENUS : 


: 2 




_CLASS 


: PARAMETERS 




SUPERCLASS 






DYNASTY : 


; PARAMETERS 




RELPATH 






PROPERTY_COUNT : 


: 2 




DERIVATION : 


: {} 




SERVER 






NAMESPACE : 






PATH : 






ReturnValue : 


: 0 




sValue : 


; {PowerShell, est, super 


!} 


PS C:\> get-regvalue "DC1 " " SOFTWARE \Tu rt le 


Worm" "st rvalue" "STR" 


GENUS : 


: 2 




_CLASS 


: PARAMETERS 




SUPERCLASS : 






DYNASTY : 


; PARAMETERS 




RELPATH 






PROPERTY_COUNT : 


; 2 




DERIVATION 


: {} 




SERVER 






NAMESPACE : 






PATH : 






ReturnValue : 


: 0 




sValue : 


: Fin de la modification du 


Registre ! 


PS C:\> 
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Comme vous pouvez le constater avec l'objet WMI retourne, si une valeur existe, ces infor- 
mations sont donnees dans une propriete sValue ou uValue. Si la valeur ou la cle n'existe pas, 
la propriete ReturnValue a la valeur entiere 2. Si cette propriete est egale a 0, cela signifie 
que la methode WMI s'est parfaitement executee. 

Nous avons verifie que les valeurs existent sous la cle du registre Turtle_Worm sur la machine 
DC1. II est temps a present de supprimer cette cle et ses valeurs. Deux methodes permettent 
d'effectuer cette tache. Nous pouvons supprimer chaque valeur en utilisant Remove -RegValue : 



PSC:\> remove -regvalue " DC1 " " SOFTWARE \Turtle_Worm" "binValue" 



_GENUS 
_CLASS 

SUPERCLASS 

DYNASTY 

RELPATH 

PR0PERTY_C0UNT 

DERIVATION 

SERVER 

NAMESPACE 

PATH 

ReturnValue 



PARAMETERS 
PARAMETERS 



{} 



PS C:\> 



Mais nous pouvons egalement invoquer Remove -RegKey pour supprimer la cle Turtle_Worm 
et, par voie de consequence, toutes ses sous-cles et leurs valeurs : 



PS C:\> remove-regkey "DC1 " " SOFTWARE \Turtle_Worm" 

GENUS : 2 

CLASS : PARAMETERS 

SUPERCLASS : 

DYNASTY : PARAMETERS 

RELPATH : 

PR0PERTY_C0UNT : 1 

DERIVATION : {} 

SERVER : 
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NAMESPACE : 

PATH : 

ReturnValue : 0 

PS C:\> 



En resume 

Ce chapitre s'est localise sur la gestion du Registre de Windows par le biais de l'utilisation 
de WSH et PowerShell. Bien que ces deux interfaces de script fournissent des methodes de 
gestion du Registre, la version PowerShell est plus robuste car elle considere le Registre 
comme un magasin de donnees hierarchique. Cependant, 1' implementation actuelle a pour 
inconvenient de ne proposer aucune methode de gestion du Registre sur une machine distante 
(c'est egalement le cas de WSH). Pour contourner ce probleme, nous avons combine 
PowerShell et WMI arm d'acceder au Registre d'une machine distante. Grace a WMI et a 
PowerShell, vous pourrez accomplir n'importe quelle tache d'automation du Registre qui se 
presentera a vous. 

Nous avons egalement aborde la reutilisation du code et les fichiers de bibliotheque. Comme 
nous l'avons explique au Chapitre 5, "Suivre les bonnes pratiques", la reutilisation du code 
est une pratique tres importante qui permet de reduire le temps de developpement d'un script. 
Ce chapitre a developpe ce theme en montrant comment placer du code reutilisable, issu d'un 
exemple reel, dans un fichier de bibliotheque. 
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PowerShell et WMI 

Dans ce chapitre 

■ Introduction 

■ Comparer l'utilisation de WMI dans WSH et dans PowerShell 

■ De VBScript a PowerShell 

Introduction 

Ce chapitre explique comment utiliser PowerShell pour la gestion des systemes a l'aide de 
WMI (Windows Management Instrumentation) et compare les methodes employees par 
WSH (Windows Script Host) et PowerShell pour mener a bien des taches WMI. Nous exami- 
nons egalement quelques scripts qui utilisent WSH pour realiser certaines taches WMI, puis 
avec PowerShell. Enfin, nous presentons la conversion d'un script VBScript en PowerShell 
ann de mettre en oeuvre une tache d'automation fondee sur WMI. L'objectif est de donner au 
lecteur la possibilite d'appliquer les techniques de scripts PowerShell a des besoins d'auto- 
mation reels. 

Comparer l'utilisation de WMI dans WSH et dans PowerShell 

Pour employer WMI dans des scripts, nous utilisons certains objets de l'API de WMI Scripting 
avec les methodes WSH CreateOb j ect ( ) et GetObj ect ( ) (ou les methodes d'un autre langage 
de scripts qui permettent de creer ou de se lier a des objets COM). Nous pouvons ainsi nous lier 
a un objet WMI qui peut etre une classe WMI ou une instance d'une classe WMI. 
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II existe deux methodes pour se connecter a un objet WML La premiere consiste a creer un 
objet SWbemServices a l'aide de la methode CreateObject( ) correspondante, puis a se 
connecter a l'objet WMI en precisant son chemin. Cependant, dans notre description, nous 
nous limitons a la seconde methode. Elle s'appuie sur le moniker "winmgmts:" (mecanisme 
COM standard pour encapsuler 1' emplacement et la liaison avec un autre objet COM). Ces 
deux methodes sont similaires, mais la premiere est souvent choisie pour des raisons liees a 
la gestion des erreurs et de 1' authentification, tandis que la seconde est preferee pour des 
raisons pratiques car une seule instruction permet d'etablir une connexion. 

Utiliser WMI dans WSH 

L'exemple de script VBScript suivant utilise un moniker qui cree une connexion a une machine 
distante et retourne ensuite la quantite de memoire RAM installee sur cette machine : 

On Error Resume Next 

Dim objWMIService, obj Computer, colltems 
Dim strComputerName 

strComputerName = "Jupiter" 

Set objWMIService = GetObj ect ( "winmgmts : \ \ " & strComputerName 
& " \root\cimv2" ) 

Set colltems = objWMIService. ExecQuery 

("Select * from Win32_ComputerSystem" ) 

For Each obj Item in colltems 

WScript.Echo "Taille de la memoire RAM : " _ 

& FormatNumber( (objltem.TotalPhysicalMemory \ 1024) 
\ 1000, 0,0,0, -1 ) & " Mo" 

Next 

Si nous enregistrons ce script dans le fichier ObtenirMemoire . vbs et l'executons avec cscript, 
nous obtenons les resultats suivants : 



C:\>cscript ObtenirMemoire . vbs 

Microsoft (R) Windows Script Host Version 5.6 

Copyright (C) Microsoft Corporation 1996-2001. Tous droits reserves. 
Taille de la memoire RAM : 774 Mo 



C:\> 
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Les sections suivantes reviennent pas a pas sur ce script et expliquent comment il obtient des 
informations concernant la memoire installee sur la machine Jupiter. 

Etape 1 

Tout d'abord, nous nous connectons a l'objet de service WMI dans l'espace de noms root\ 
cimv2 sur la machine Jupiter : 

Set objWMIService = GetObj ect ( "winmgmts : \ \ " & strComputerName 
& " \root\cimv2" ) 



Etape 2 

Ensuite, nous invoquons la methode ExecQuery() de l'objet de service WMI en utilisant 
WQL (WMI Query Language) pour creer un objet lie a une instance de la classe Win32_ 
ComputerSytem : 

Set colltems = objWMIService. ExecQuery 
("Select * from Win32_ComputerSystem" ) 

Etape 3 

Enfin, a l'aide de la variable colltems et d'une boucle for, nous parcourons la nouvelle 
collection d'objets creee et ob tenons les informations recherchees a partir de la propriete 
TotalPhysicalMemory. Nous mettons en forme la valeur numerique en appelant la fonction 
FormatNumber, puis nous affichons le resultat (en megaoctets) sur la console : 

For Each objltem in colltems 

WScript.Echo "Taille de la memoire RAM : " _ 

& FormatNumber( (objltem. TotalPhysicalMemory \ 1024) _ 
\ 1000, 0,0,0, -1 ) & " Mo" 

Next 

Utiliser WMI dans PowerShell 

L' utilisation de WMI dans PowerShell presente une logique conceptuelle analogue a la pre- 
cedente. La difference principale est liee au fait que les methodes de PowerShell s'appuient 
sur WMI .NET au lieu de 1' API de WMI Scripting. Dans PowerShell, il existe trois manieres 
d'employer WMI : WMI .NET (les espaces de noms System . Management et System . Management 
. Instrumentation de .NET), l'applet de commande Get -WmiObj ect et les types WMI abreges 
de PowerShell ([WMI], [WMlClass] et [WMlSearcher]). 
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La premiere methode, c'est-a-dire les espaces de noms System. Management et System. 
Management . Instrumentation, n'est pas decrite ici car elle n'est pas aussi simple que les 
deux autres. Elle doit servir de solution de repli lorsque PowerShell n'encapsule pas correc- 
tement un objet dans un objet PSOb j ect necessaire aux deux autres methodes. 

La deuxieme methode, l'applet de commande Get-WmiObject, obtient des objets WMI et 
reunit des informations a propos des classes WMI. Cette applet est relativement simple. Par 
exemple, pour obtenir une instance locale de la classe Win32_ComputerSystem, il suffit d'in- 
diquer son nom : 



r 

PS C:\> get-wmiobject 


"Win32_ComputerSystem" 


Domain : 


companyabc . com 


Manufacturer : 


Hewlett-Packard 


Model : 


Pavilion dv8000 (ES184AV) 


Name : 


Wii 


PrimaryOwnerName : 


Damon Cortesi 


TotalPhysicalMemory : 


2145566720 


PS C:\> 


-* 



Lexemple suivant, qui est plus robuste, se connecte a la machine distante Jupiter et obtient 
une instance de la classe Win32_Service dont le nom d'instance est Virtual Server. Le resultat 
est un objet contenant des informations a propos du service Virtual Server sur Jupiter : 



r 

PS C:\> get-wmiobject -class "Win32_Service" 


^ 

-computerName "Jupiter" -filter 


"Name='Virtual Server'" 




ExitCode 


: 0 




Name 


: Virtual Server 




Processld 


: 656 




StartMode 


: Auto 




State 


: Running 




Status 


: OK 




PS C:\> 

«- 
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La commande suivante retourne les memes informations, mais a partir d'une requete WQL : 



r 

PS C:\> get 


-wmiobject -computerName "Jupiter" -query "Select * From Win32 


Service Where Name= ' Virtual Server'" 


ExitCode : 


0 


Name : 


Virtual Server 


Processld : 


656 


StartMode : 


Auto 


State : 


Running 


Status : 


OK 


PS C:\> 





Enfin, voici comment employer Get -WmiOb j ect pour obtenir des informations a propos d'une 
classe WMI : 



PS C:\> get -wmiobj ect -namespace "root/cimv2" -list I where {$ .Name -eq 


"Win32_Product"} I 


format-list * 


Name 


: Win32_Product 


GENUS 


: 1 


_CLASS 


: Win32_Product 


SUPERCLASS 


: CIM_Product 


DYNASTY 


: CIM_Product 


RELPATH 


: Win32_Product 


PR0PERTY_C0UNT 


: 12 


DERIVATION 


: {CIM_Product} 


SERVER 


: PLANX 


NAMESPACE 


: R00T\cimv2 


PATH 


: \\PLANX\R00T\cimv2:Win32_Product 


PS C:\> 





Meme si l'utilisation de Get-WmiObject reste simple, il est souvent necessaire de saisir une 
longue chaine de commande. Cet inconvenient nous amene a la troisieme methode, les 
types WMI abreges. La section suivante presente les abreviations de types et l'utilisation 
des types WMI abreges de PowerShell. 
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Abreviations de types 

Nous avons deja employe les abreviations de types au cours des chapitres precedents, mais 
elles n'ont pas encore ete veritablement expliquees. Une abreviation de type n'est rien 
d'autre qu'un alias permettant d'indiquer un type .NET. Sans les abreviations de types, la 
definition du type d'une variable impose la saisie du nom de classe complet : 



PS C:\> $Utilisateur = [System . Directory Services . Di rectory Entry] " LDAP : / / 
CN=Fu j io Saitoh , OU=Accounts , OU=Managed Ob] ects , DC=companyabc , DC=com" 
PS C: \> SUtilisateur 

distinguishedName 

{CN=Fujio Saitoh, OU=Accounts,OU=Managed Objects,DC=companyabc,DC=com} 
PS C:\> 



Au lieu de saisir l'integralite de ce nom, nous pouvons simplement employer le type abrege 
[ADS I ] pour definir le type de la variable : 



r 

PS C:\> SUtilisateur = [ADSi; 


| " LDAP : / / CN=Fu j io Saitoh , OU=Accounts 


,OU=Managed 


Ob j ects , DC=companyabc , DC=com ' 






PS C: \> SUtilisateur 






distinguishedName 






{CN=Fujio Saitoh, OU=Accounts : 


, OU=Managed Ob j ects , DC=companyabc , DC= 


=com} 


PS C:\> 







L'equipe de developpement de PowerShell a inclus les abreviations de types principalement 
pour reduire la saisie necessaire a la definition d'un type d'objet. Cependant, les types abre- 
ges ne sont pas decrits dans la documentation de PowerShell, meme si on retrouve des 
references a [WMI], [ADSI] etd'autres sur de nombreux blogs. 

Malgre leur absence dans la documentation, 1' abreviation de types est une caracteristique plutot 
utile de PowerShell. Le Tableau 8.1 donne la liste des types abreges les plus employes. 
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Tableau 8.1 Types abreges dans PowerShell 



Nom 


Type 






[int] 


typeof 


(int) 




[int[ ] ] 


typeof 


[int[]) 




[ long ] 


typeof 


(long) 




[long[ ] ] 


typeof 


(long[]) 




[ string ] 


typeof 


string) 




rstringr 1 1 


typeof 


(string! ] ) 


[char] 


typeof 


(char) 




[char[ ] ] 


typeof 


(char[ ] ) 




[bool] 


typeof 


(bool) 




[bool[ ] ] 


typeof 


[bool[]) 




[byte] 


typeof 


(byte) 




[double] 


typeof 


(double) 




[decimal] 


typeof 


(decimal) 


[float] 


typeof 


(float) 




[single ] 


typeof 


(float) 




[ regex] 


typeof 


(System. 


Text . RegularExpressions . Regex) 


[array] 


typeof 


(System. 


Array) 


[xml] 


typeof 


System. 


Xml.XmlDocument) 


[ scriptblock] 


typeof 


(System. 


Management .Automation .ScriptBlock) 


[ switch ] 


typeof 


System. 


Management .Automation .SwitchParameter) 


[ hashtable ] 


typeof 


(System. 


Collect ions. Hashtable) 


[type] 


typeof 


(System. 


Type) 


[ref ] 


typeof 


System. 


Management .Automation . PSRef erence ) 


[psobject] 


typeof 


(System. 


Management .Automation . PSOb j ect ) 


[wmi] 


typeof 


System. 


Management . ManagementOb j ect ) 


[wmisearcher] 


typeof 


(System. 


Management . ManagementObj ect Searcher) 


[wmiclass] 


typeof 


System. 


Management .ManagementClass) 


[adsi] 


typeof 


System. 


Direct oryServices . Directory Entry) 
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Les sections suivantes expliquent comment utiliser les types WMI abreges de PowerShell. 
Le type abrege [WMI] 

Ce type abrege pour la classe ManagementObject prend un chemin d'objet WMI sous forme 
d'une chaine et obtient un objet WMI lie a une instance de la classe WMI indiquee : 



PS C: \> $InfoOrdi 
PS C: \> $InfoOrdi 



= [WMI] " \\ . \root\cimv2:Win32_ComputerSystem.Name= ' PLANX' 



Domain 

Manufacturer 

Model 

Name 

PrimaryOwnerName 
TotalPhysicalMemory 



companyabc . com 

Hewlett-Packard 

Pavilion dv8000 (ES184AV) 

PLANX 

Frank Miller 
2145566720 



PS C:\> 



Info 



Pour etablir une liaison directement a un objet WMI, vous devez inclure la propriete cle dans 
le chemin de I'objet WMI. A I'exemple precedent, la propriete cle est Name. 



Le type abrege [WMICIass] 

Ce type abrege pour la classe ManagementClass prend un chemin d'objet WMI sous forme 
d'une chaine et obtient un objet WMI lie a la classe WMI indiquee : 



PS C:\> $ClasseOrdi = [WMICLASS] " \ \ . \ root\cimv2 :Win32_ComputerSystem" 
PS C:\> $ClasseOrdi 

Win32_ComputerSystem 

PS C:\> $ClasseOrdi I format -list * 



Name : Win32_ComputerSystem 
GENUS : 1 

CLASS : Win32_ComputerSystem 
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SUPERCLASS 


: CIM_UnitaryComputerSystem 




DYNASTY 


: CIM_ManagedSystemElement 




RELPATH 


: Win32_ComputerSystem 




PROPERTY_COUNT 


: 54 




DERIVATION 


: {CIM_UnitaryComputerSystem 


, CIM_ComputerSystem, CIM_System, 




CIM_LogicalElement . . . } 




SERVER 


: PLANX 




NAMESPACE 


: R00T\cimv2 




PATH 


: \\PLANX\R00T\cimv2:Win32_ 


ComputerSystem 


PS C:\> 







Le type abrege [WMISearcher] 

Ce type abrege pour la classe ManagementOb j ectSearcher prend une chaine WQL et cree un 
objet de recherches WMI. Ensuite, nous pouvons appeler la methode Get ( ) pour obtenir un 
objet WMI lie a une instance de la classe WMI indiquee : 



r 

PS C:\> SClasseOrdi 


^ 

= [WMISearcher] "Select * From Win32_ComputerSystem" 


PS C:\> SClasseOrdi, 


.Get() 


Domain 


: companyabc.com 


Manufacturer 


: Hewlett-Packard 


Model 


: Pavilion dv8000 (ES184AV) 


Name 


: PLANX 


PrimaryOwnerName 


: Miro 


TotalPhysicalMemory 


: 2145566720 


PS C:\ 


-4 



De VBScript a PowerShell 

Cette section detaille la conversion d'un script VBScript en son equivalent PowerShell. Ce script 
est utilise pour surveiller des machines virtuelles sur un hote Microsoft Virtual Server 2005. 

Avant le developpement de ce script, la societe companyabc.com etait en cours de rempla- 
cement de la plupart de ses serveurs d' applications materiels par des machines virtuelles. 



216 Partie2 



Appliquer ses connaissances a PowerShell 



Ce basculement devait egalement inclure une methode simple mais efficace pour surveiller 
les machines virtuelles hebergees par chaque Microsoft Virtual Server. Cependant, une plate- 
forme de surveillance reelle, comme MOM (Microsoft Operations Manager), n'etait pas en 
place. Le service informatique a suggere de developper un script d'automation qui remplirait 
les besoins de supervision a court terme de l'entreprise, et c'est ce qui a ete realise. 

Le script MonitorMSVS.wsf 

MonitorMSVS.wsf est un fichier VBScript developpe pour repondre aux besoins de compa- 
nyabc.com quant a la surveillance d'une machine virtuelle. Vous le trouverez dans le 
dossier Scripts\Chapitre 8\MonitorMSVS et vous pouvez le telecharger depuis le site 
www.pearsoneducation.fr. Pour l'executer, il faut definir le parametre servername, dont 
l' argument indique le nom du systeme Virtual Server qui heberge les machines virtuelles a 
superviser. Voici la commande qui permet d'executer MonitorMSVS.wsf, dont la sortie est 
illustree a la Figure 8.1 : 



D: \Scripts>cscript MonitorMSVS.wsf /servername : vsserver01 



C : \W INDOWS\system 3 2\cmd . exe 



03 



C:\Scripts>cscript . \Mon itorMSUS . wsf /seruernane : jupiter 
Microsoft <R> Windows Script Host Uersion 5.6 

Copyright <C> Microsoft Corporation 1996-2001. Tous droits reserves. 

II II II II II II tl It tt H II II II It II II 1111 II II II Mil II II II II It II I! II II II II II II It tl till 
tt MonitorMSUS tt 

tttttttttttlttHlttttlttltttttHltltttttttHltttttttltttttttttttttttBtttttttttt 



Uerification du f onct ionnenent du MSUS 
Obtention des donnees des nacnines uirtuelles 

[Name] [Uptime] [CPU] [Memory] [Disk] 
chronos 5 0 1 028 5 404 

ueb01 1 100 266 



[EN LIGNE] 

[OK] 



:\Scripts> 



Figure 8. 1 

Execution du script MonitorMSVS.wsf. 



Chapitre 8 



PowerShell et WMI 217 



Void la suite des operations realisees par MonitorMSVS.wsf : 

1. Le script envoie un ping vers le MSVS (Microsoft Virtual Server) indique afin de verifier 
que le serveur est operationnel. 

2. Puis, il se connecte a l'hote MSVS en utilisant une chaine de moniker et, par consequent, 
en creant un objet de service WMI. 

3. Ensuite, il invoque la methode ExecQuery ( ) de l'objet de service WMI, en lui passant 
une requete WQL qui demande une collection d'instances de la classe VirtualMachine. 

4. Enfin, pour chaque machine virtuelle active (presente dans la collection), le script ecrit sur la 
console les valeurs actuelles des proprietes Uptime, CpuUtilization, PhysicalMemoryAllocated 
et DiskSpaceUsed. 

Le premier extrait de code est constitue des elements XML initiaux pour un fichier WSE lis 
definissent les parametres acceptes, decrivent le script, donnent des exemples de fonctionne- 
ment du script et precisent le langage employe : 

<?xml version="1 .0" encoding="ISO-8859-1 "?> 
<package> 

<job id="MonitorMSVS"> 
<runtime> 

<description> 

************************************************************ 

Ce script permet de surveiller Microsoft Virtual Server 2005. 
************************************************************ 

</description> 

<named name="servername" helpstring="Nom de l'hote MSVS a 
surveiller." type="string" required="1" /> 

<example> 

Exemple : 

cscript MonitorMSVS.wsf /servername: "vms01 .companyabc.com" 
</example> 
</ runtime> 
<script language="VBScript"> 
<! [ CDATA [ 

Le script verifie ensuite si un argument a ete defini pour le parametre obligatoire servername. 
Si ce n'est pas le cas, il affiche les informations d'utilisation (definies dans le code precedent) 
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sur la console et se termine. Lorsque l' argument est precise, le script configure son environ- 
nement en definissant les variables utilisees par la suite : 



On Error Resume Next 




Verifier les arguments obligatoires . 



If WScript .Arguments . Named . Exists ( " servername 

WScript .Argument s.Showllsage( ) 

WScript. Quit 
End If 




Definir 1 1 environnement de travail. 



Dim StdOut 

Dim strServerName 



Set StdOut = WScript. StdOut 
strServerName = WScript .Arguments . Named (" servername" ) 



Le prochain extrait montre le debut du code d'automation. Tout d'abord, le script affiche son 
en-tete sur la console, puis verifie que l'hote MSVS indique par servername est operationnel. 
Pour cela, il tente de le contacter a l'aide de la fonction Ping. Si l'hote MSVS fonctionne 
parfaitement, le script se poursuit. Sinon, il s'arrete et le message d'etat adequat est affiche a 
1' operate ur : 



Commencer le travail. 



Mess "########################################" 
Mess "# MonitorMSVS #" 

Mess " ######################################## 11 
Mess vbNullString 

StatStart "Verification du f onctionnement du MSVS" 
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If Ping(strServerName) = 0 Then 
StdOut. Write (vbTab & vbTab) 
StdOut.WriteLine( " [HORS LIGNE] 
WScript. Quit() 

Else 

StdOut. Write(vbTab & vbTab) 
StdOut. WriteLine( " [EN LIGNE]") 
End If 



L'etape suivante consiste a etablir une connexion avec l'hote MSVS en utilisant WMI et a obtenir 
des informations de performance sur ses machines virtuelles. Une fois cela fait, les informa- 
tions doivent etre converties en un format lisible avant d'etre affichees sur la console : 



Obtenir les donnees concernant les machines virtuelles. 



StatStart "Obtention des donnees des machines virtuelles" 

Set objWMIService = GetObject( "winmgmts: \\" & strServerName 

& " \root\vm\virtualserver" ) 
Set colltems = objWMIService. ExecQuery( "SELECT * FROM VirtualMachine" ) 

Xerror 
StatDone 

StdOut .WriteLine(vbNullSt ring) 
' Affichage de l'en-tete. 

StdOut. WriteLine("[Name] [Uptime] [CPU] [Memory] [Disk]") 

For Each objltem In colltems 

StdOut. Write(obj Item. Name & vbTab) 

StdOut. Write(FormatNumber(obj Item. Uptime / 60, 0, 0, 0, -1) & vbTab) 
StdOut. Write(FormatNumber(objItem.CpuUtilization, 0) & vbTab) 
StdOut .Write (Format Number ( (obj Item. PhysicalMemoryAllocated 

/ 1024) / 1000, 0, 0, 0, -1) & vbTab) 
StdOut. Write(FormatNumber( (objltem. DiskSpaceUsed / 1024) 

/ 1000, 0, 0, 0, -1)) 
StdOut .WriteLine(vbNullString) 

Next 
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Pourquelesvaleursdonneesparlesproprietes Uptime, CpuUtilization,PhysicalMemoryAllocated 
et DiskSpaceUsed soient plus lisibles, le script invoque la fonction FormatNumber. Elle determine 
la mise en forme d'une valeur numerique et permet de preciser les parametres suivants : 

■ nombre de chiffres affiches apres la virgule ; 

■ afficher ou non un 0 initial pour les valeurs fractionnaires ; 

■ entourer ou non les valeurs negatives par des parentheses ; 

■ regrouper ou non les nombres en utilisant le separateur des milliers defini dans le Panneau 
de configuration. 

MonitorMSVS.wsf utilise la fonction FormatNumber de maniere a formater les valeurs nume- 
riques sans chiffres apres la virgule et avec le separateur des milliers qui correspond aux 
parametres regionaux de la machine. Enfin, ces valeurs sont converties en unites plus repre- 
sentatives : 

■ Uptime, initialement en secondes, est affiche en minutes. 

■ PhysicalMemoryAllocated n'est plus en octets mais en megaoctets. 
DiskSpaceUsed passe egalement en megaoctets. 

L'extrait de code suivant est constitue des procedures utilisees tout au long du script : 



Procedures . 



1 Procedure generale pour les messages. 

Sub Mess(Message) 

' Ecrire sur la console. 

St dOut .Writ eLine (Message ) 
End Sub 



1 Procedure generale pour le debut d'un message. 

Sub StatStart(Message) 

' Ecrire sur la console. 

StdOut. Write (Message) 
End Sub 
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Procedure generale pour la fin d'un message 



Sub StatDone 

' Ecrire sur la console. 
StdOut. Write (vbTab & vbTab) 
StdOut.WriteLine( " [OK] " ) 

End Sub 



Procedure generale pour Xerror. 



Sub Xerror 

If Err. Number <> 0 Then 

' Ecrire sur la console. 
StdOut .WriteLine ( " Erreur fatale 
& " " & Err. Description 

WScript. Quit() 
End If 
End Sub 




Le script MonitorMSVS . wsf doit s'assurer que l'hote MSVS est operationnel avant de pouvoir 
continuer. Ce controle est effectue a l'aide d'un ping ICMP : 



Fonctions . 



Envoyer un ping a une machine. 

Cette fonction teste si une machine est connectee au reseau. 
Function Ping (Machine) 
On Error Resume Next 

Set colltems = GetObject("winmgmts:{impersonationLevel=impersonate}") . 
ExecQuery( "select * from Win32_PingStatus where address = ' "_ 
& Machine & ) 



For Each colltem in colltems 

If IsNull(colItem.StatusCode) or colltem. StatusCode <> 0 Then 



222 Partie 2 



Appliquer ses connaissances a PowerShell 




Pour mettre en oeuvre le ping ICMP, le script utilise une fonction nommee, fort a propos, 
Ping. Elle realise la sequence a" operations suivante : 

1. La fonction Ping appelle la methode ExecQuery ( ) de l'objet de service WML 

2. Elle passe a ExecQuery ( ) une requete WQL qui demande toutes les proprietes de l'ins- 
tance de la classe Win32_PingStatus. L'adresse indiquee est celle de l'hote que nous 
tentons de contacter. 

3. La collection d'instances obtenue (dans ce cas, une seule instance, qui n'est qu'un objet) 
est affectee a la variable colltems. 

4. Le resultat du ping est pris dans colltems et retourne au script afin que celui-ci determine 
s'il peut ou non poursuivre son execution. 

Grace au ping ICMP, nous diminuons le temps demande par le script pour echouer si le 
serveur interroge n'etait pas capable de repondre. Cette gestion elaboree des erreurs permet 
de prevoir l'echec du script et inclut une logique qui empeche cet echec. De plus, nous utili- 
sons une methode WMI a la place de ping . exe car les resultats retournes par WMI sont plus 
faciles a manipuler que ceux de cette commande. 

Le dernier exemple de code est constitue des elements XML qui terminent le script : 

]]> 

</script> 
</ job> 
</package> 



Le script MonitorMSVS.psI 

MonitorMSVS . psl est la version PowerShell du script MonitorMSVS .wsf . Vous le trouverez dans 
le dossier Scripts\Chapitre 8 \ MonitorMSVS et en telechargement sur le site www.pearson- 
education.fr. Pour l'executer, il faut definir le parametre ServerName, dont l'argument doit 
etre le nom du systeme Virtual Server qui heberge les machines virtuelles a surveiller. 
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Voici la commande qui permet de lancer MonitorMSVS.psl, ainsi qu'un exemple de sortie a 
la Figure 8.2 : 



PS D:\Scripts> . \MonitorMSVS. ps1 -ServerName Jupiter 



T C:\WINDOWS\system32\WindowsPowerShellW1 .0\PowerShell.exe 



PS C:\Scripts> C:\Scripts\Monitorl1SUS.psl -SeruerName Jupiter 
MonitorMSUS 

Uerif ication du f onct ionnement du MSUS [EN LIGNE] 
Obtention des nous des machines virtue lies [OK] 
Obtention des donnees des machines uirtuelles [OK] 



□ X 



Uptime Mins 



:hronos 
;eb01 



En ligne 
En ligne 



CPU •/. Memory MB 

0 1 028 
98 266 



Disk MB 



S C:\Scripts> 



Figure 8.2 

Execution du script MonitorMSVS.psl. 



Dans la commande d'execution du script MonitorMSVS. ps1, le nom du parametre ServerName 
est indique dans la chaine de commande, contrairement a I'exemple du Chapitre 6, 
"PowerShell et le systeme de fichiers". Dans PowerShell, vous pouvez passer le nom complet 
ou partiel des parametres : 

\MonitorMSVS.ps1 -S Jupiter 

Si les arguments sont definis dans I'ordre exact des parametres du script, il n'est pas neces- 
saire de les indiquer sur la ligne d'execution du script : 

\MonitorMSVS.ps1 Jupiter 
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Voici les operations effectuees par le script MonitorMSVS.psl : 

1. Le script envoie un ping vers le MSVS (Microsoft Virtual Server) indique afin de verifier 
que le serveur est operationnel. 

2. Puis, il se connecte au site Web d' administration de MSVS afin d'obtenir une liste des 
machines virtuelles hebergees par cet note. Cette liste est placee dans la variable $Servers. 

3. II utilise l'applet de commande Get-WmiObject pour obtenir une collection d'instances 
de la classe VirtualMachine, qu'il place dans la variable $VirtualMachines. 

4. Pour chaque objet de machine virtuelle present dans la variable SServers, il ajoute l'etat 
actuel de la machine virtuelle comme membre de cet objet. Si la machine virtuelle est active 
(presente dans la collection SVirtualMachines), le script ajoute egalement les valeurs 
des proprietes Uptime, CpuUtilization, PhysicalMemoryAllocated et DiskSpaceUsed 
comme membres de 1' objet de machine virtuelle. 

5. Enfin, il affiche les informations sur la console de PowerShell en utilisant l'applet de 
commande Format -Table. 

Le premier extrait de code contient l'en-tete du script MonitorMSVS . psl . II fournit des infor- 
mations sur le role du script, sa date de derniere mise a jour et son auteur. Juste apres l'en- 
tete, nous trouvons l'unique parametre du script ($ServerName) : 

################################################## 

# MonitorMSVS.psl 

# Ce script surveille Microsoft Virtual Server 2005. 
# 

# Cree le : 01/12/2006 

# Auteur : Tyson Kopczynski 

################################################## 
param( [string] $ServerName = $(throw write-host 

"Veuillez indiquer le nom de l'hote MSVS a surveiller !" 

-Foregroundcolor Red)) 



Le code suivant contient le debut de la partie automation du script. Tout d'abord, la variable 
$URL se voit affecter l'URL du site Web d' administration de Virtual Server pour l'hote MSVS. 
Ensuite, comme le script MonitorMSVS. wsf, MonitorMSVS.psl se sert d'un ping ICMP pour 
verifier que l'hote MSVS est operationnel. Cependant, il utilise pour cela la classe .NET Net . 
Networklnformation.Ping a la place de WML D'autres methodes, y compris ping.exe, 
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auraient pu etre choisies, mais la classe Net. Networklnformation. Ping demande moins de 
travail et de code. Quelle que soit la methode retenue, l'important est de prevoir les possibi- 
lity d'echec du script et de gerer correctement les erreurs : 

################################################## 

# Code principal. 

################################################## 

$URL = "http: //$($ServerName) : 1024/VirtualServer/VSWebApp.exe?view=1 " 

# 

# Debut du script. 

# 

write -host " " 

write -host "- MonitorMSVS 

write -host " " 

write-host 

write-host "Verification du f onctionnement du MSVS" -NoNewLine 
■{ 

trap{write-host 't "[ERREUR]" -Foregroundcolor Red; 
throw write-host $_ -Foregroundcolor Red; 
Break} 

$Ping = new-object Net . Networklnf ormation . Ping 
$Result = $Ping.Send($ServerName) 

if ($Result. Status -eq "Success" ){ 

write-host 't "[EN LIGNE]" -Foregroundcolor Green 
} 

else{ 

write-host 't "[HORS LIGNE]" -Foregroundcolor Red 

write-host 

Break 

} 

} 

Si l'hote MSVS fonctionne parfaitement, le script affiche "[EN LIGNE]" sur la console et 
poursuit son execution. En revanche, s'il n'est pas operationnel, il affiche "[HORS LIGNE]" 
et se termine. 
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Apres la verification du fonctionnement de l'hote MSVS, l'etape suivante consiste a s'y 
connecter et a obtenir une liste des machines virtuelles qu'il heberge. L'extrait de code 
suivant realise cette tache en ameliorant la logique du script MonitorMSVS.wsf originel et en 
illustrant l'une des possibilites les plus impressionnantes de PowerShell : 

# 

# Obtenir la liste des machines virtuelles. 
# 

$Webclient = new-object Net .WebClient 
$Webclient . UseDef aultCredentials = $True 

write-host "Obtention des noms des machines virtuelles" -NoNewLine 
■{ 

trap{write-host 't "[ERREUR]" -Foregroundcolor Red; 
throw write-host $_ -Foregroundcolor Red; 
Break} 

$Data = $Webclient.DownloadString("$URL") 
write-host "t "[OK]" -Foregroundcolor Green 

} 

# Cette expression reguliere obtient une liste des entrees de serveur 

# a partir de donnees regues. 

$Servers = [Regex] : :Matches($Data, ' (?<=& vm=) [ * " \ r\n] * (?=" )') 

# Les doublons sont nombreux et doivent done etre regroupes. 

# Par ailleurs, cela donne un meilleur nom a la propriete. 
$Servers = $Servers I group Value I select Name 

Le script MonitorMSVS.wsf presente un inconvenient majeur : la requete WMI retourne des 
informations uniquement sur les machines virtuelles qui sont actives au moment de la 
demande. Si une machine virtuelle est arretee a ce moment-la, il est impossible d'afficher cet 
etat aux utilisateurs. Pourtant, disposer de la liste complete des machines virtuelles et de leur 
etat courant est une information utile pour un outil de surveillance. 

Pour acceder a ces informations, le script doit creer une liste de toutes les machines virtuelles 
presentes sur l'hote MSVS. Cette liste existe sur le site Web d' administration de Microsoft 
Virtual Server. Pour l'obtenir, le script utilise la classe .NET Net .WebClient, grace a laquelle 
il se connecte au site d' administration et telecharge le contenu HTML depuis la page d'etat 
principale. 
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Puisque PowerShell est compatible avec .NET Framework, II peut acceder aux services Web et 
s'en servircomme source de donnees externeou comme applications. Parexemple, PowerShell 
peut etre employe pour poster des billets sur des blogs ou lire leur contenu, pour verifier la 
disponibilite des consoles Wii sur amazon.fr ou pour effectuer d'autres taches d'automation 
s'appuyant sur des donnees ou des applications fournies par les services Web de votre entre- 
prise. Les possibilites sont infinies. 



Dans le contenu HTML telecharge, le nom de chaque machine virtuelle est repete plusieurs 
fois. Pour construire la liste, le script se sert du type abrege des expressions regulieres, 
[Regex], arm d'extraire ces noms et de les placer dans la variable $Servers. La liste contient 
done le nom de chaque machine virtuelle, mais repete plusieurs fois. Pour ne garder qu'un 
exemplaire de chaque nom, le script invoque l'applet de commande Group-Object. La liste 
finale, qui contient les noms de toutes les machines virtuelles hebergees par l'hote MSVS 
indique, est reaffectee a la variable $Servers. 

Ensuite, le script recupere les informations de performances des machines virtuelles a partir 
d'instances de la classe WMI VirtualMachine obtenues a l'aide de l'applet de commande 
Get -WmiOj beet. Dans l'etape suivante, les deux jeux de donnees sont fusionnes : les infor- 
mations concernant les machines virtuelles ($VirtualMachines) et la liste des machines 
virtuelles ($Servers). Pour cela, le script prend chaque objet de machine virtuelle contenu 
dans la variable $Servers. Si le nom de la machine virtuelle se trouve dans les deux collec- 
tions d'objets, l'applet de commande Add -Member est invoquee afin de completer l'objet de 
machine virtuelle courant avec les informations de performances donnees par la variable 
$VirtualMachines. 

Cette extension de l'objet inclut un indicateur d'etat d'activite et les informations de 
proprietes associees. Si la machine virtuelle est hors ligne (absente des deux collections), 
le script insere uniquement l'indicateur d'etat d'inactivite. Le concept de modification 
dynamique d'un objet a ete presente au Chapitre 3, "Presentation avancee de PowerShell", 
mais cet exemple illustre la puissance de cette caracteristique dans un script d'automation. 
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Voici le code de toute cette procedure : 

# 

# Obtenir les donnees concernant les machines virtuelles. 

# 

write-host "Obtention des donnees des machines virtuelles" -NoNewLine 
■{ 

trap{write-host 'ft "[ERREUR]" -Foregroundcolor Red; 
throw write-host $_ -Foregroundcolor Red; 
Break} 

$VSMachines = get -wmiobj ect -namespace " root/ vm/virtualserver" 
-class VirtualMachine -computername $ServerName 
-ErrorAction Stop 

write-host 't't "[OK]" -Foregroundcolor Green 

} 

foreach ($Server in $Servers){ 
&{ 

$VSMachine = $VSMachines I where {$_.Name -eq $Server.Name} 

if ($VSMachine){ 

$Uptime = $VSMachine. Uptime / 60 

$Memory = ($VSMachine . PhysicalMemoryAllocated / 1024) / 1000 
$Disk = ($VSMachine.DiskSpaceUsed / 1024) /1000 

add-member -inputObject $Server -membertype noteProperty 

-name "Status" -value "En ligne" 
add-member -inputObject SServer -membertype noteProperty 

-name "Uptime" -value SUptime 
add-member -inputObject SServer -membertype noteProperty 

-name "CPU" -value SVSMachine . CpuUtilization 
add-member -inputObject SServer -membertype noteProperty 

-name "Memory" -value $Memory 
add-member -inputObject SServer -membertype noteProperty 

-name "Disk" -value $Disk 

} 

else{ 

add-member -inputObject SServer -membertype noteProperty 
-name "Status" -value "Hors ligne" 

} 

} 
} 
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La derniere etape consiste a afficher les informations presentes dans la variable $Servers sur 
la console PowerShell a l'aide de l'applet de commande Format -Table. Cette applet permet 
d'ajouter des proprietes calculees. Dans notre exemple, elle modifie les etiquettes des proprie- 
tes provenant de $Servers. L'operateur de format ( - f ) fixe la mise en forme de ces proprietes, 
comme le montre l'extrait de code suivant : 




Pour plus d'informations sur l'operateur -f, consultez la documentation de la methode 
Format de la classe .NET System. String sur la page http://msdn2.microsoft.com/fr-fr/library/ 
system, string. format(VS. 80). aspx. 



SServers I format -table Name, Status 

,@{label="uptime Mins"; expression={"{0:N0}" -f $_. Uptime}} 
,@{label="CPU %" ; expression={$_.CPU}} ' 
,@{label="Memory MB"; expression={"{0:N0}" -f $_. Memory}} 
,@{label="Disk MB"; expression={"{0:N0}" -f $_.Disk}} ' 
-wrap 



En resume 

Ce chapitre s'est attache a montrer l'utilisation de WMI conjointement a WSH et a PowerShell 
pour realiser des taches d' automation. Les exemples et les scripts presentes ne sont en aucun 
cas les seules taches pouvant etre menees avec WMI. Par ailleurs, vous avez egalement 
decouvert la simplicite d'utilisation de WMI avec PowerShell. Arme de ces connaissances, 
il vous sera assez difficile d'atteindre les limites des possibilites offertes par ces deux tech- 
nologies. 

Lors de la presentation des scripts d'automation operationnels, une caracteristique tres puis- 
sante de PowerShell a ete devoilee. Comme nous l'avons explique, la compatibilite de 
PowerShell avec .NET Framework lui permet d'interagir avec des services Web et d'en obte- 
nir des donnees. Cette caracteristique a ete utilisee dans MonitorMSVS. psl pour acceder aux 
informations disponibles dans Microsoft Virtual Server, que la solution VBScript ne permet- 
tait d'obtenir qu'avec grandes difficultes. Nous ne repeterons jamais assez que l'exemple de 
ce chapitre ne fait qu'aborder l'ensemble des possibilites offertes par cette caracteristique. 
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PowerShell et Active Directory 

Dans ce chapitre 

■ Introduction 

■ Comparer l'utilisation d'ADSI dans WSH et dans PowerShell 

■ De VBScript a PowerShell 

Introduction 

Ce chapitre presente les interfaces des services Active Directory (ADSI, Active Directory 
Services Interfaces) et decrit les methodes WSH (Windows Script Host) et PowerShell pour 
les taches de gestion d' Active Directory. Pour comprendre ces concepts, nous comparons des 
exemples fondes sur WSH et sur PowerShell. Enfin, nous verrons la conversion VBScript 
vers PowerShell d'un script qui utilise ADSI pour realiser une tache d'automation Active 
Directory. L'objectif est de donner au lecteur la possibility d'appliquer les techniques de 
scripts PowerShell a des besoins d'automation reels. 

Comparer l'utilisation d'ADSI dans WSH et dans PowerShell 

Avant de voir comment 1' administration d' Active Directory peut se faire depuis PowerShell, 
vous devez savoir qu'ADSI represente la premiere interface de programmation pour la 
gestion d' Active Directory. La grande majorite des outils de gestion s'appuie sur ADSI pour 
interagir avec Active Directory. De meme, la gestion d' Active Directory depuis un script se 
fait generalement avec ADSI. 
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Pour utiliser ADSI dans vos scripts, vous devez comprendre quelques concepts essentiels. 
Premierement, ADSI est constitute d'un ensemble de fournisseurs : LDAP (Lightweight 
Directory Access Protocol), NDS (Novell Directory Services), NWCOMPAT (Novell NetWare 
3.x) et WinNT (Windows NT). Ces fournisseurs permettent aux programmes externes et aux 
scripts de gerer differents annuaires reseau et referentiels de donnees, comme Active 
Directory, Novell NetWare 4.x NDS et NetWare 3.x Bindery, ainsi que toute infrastructure 
de service d'annuaire compatible LDAP (LDAP V2 et ulterieure). Cependant, il est possible 
de developper des fournisseurs ADSI supplementaires arm de prendre en charge d'autres 
types de referentiels de donnees. Par exemple, Microsoft propose un fournisseur ADSI pour 
la gestion d'HS (Internet Information Services). 

Deuxiemement, un fournisseur ADSI implemente un groupe d'objets COM pour la gestion 
des annuaires reseau et des depots de donnees. Par exemple, un administrateur peut se servir 
du fournisseur ADSI WinNT pour se lier aux ressources d'un domaine Windows et les gerer 
car il fournit des objets pour, entre autres, les utilisateurs, les ordinateurs, les groupes et les 
domaines. Les objets mis a disposition par un fournisseur ADSI resident generalement dans la 
ressource a gerer. En accedant au fournisseur ADSI concerne, un programme ou un script peut 
se lier a un objet et l'administrer grace aux methodes et proprietes definies pour cet objet. 

Troisiemement, ADSI fournit une couche d'abstraction pour que la gestion des objets puisse 
se faire au travers de differents services d'annuaire et referentiels de donnees. Cette couche 
d' attraction, appelee interface IADs, definit des proprietes et des methodes communes a tous 
les objets ADSI. Par exemple, un objet ADSI auquel on a accede au travers de l'interface 
IADs presente les caracteristiques suivantes : 

■ Un objet peut etre identifie par un nom, une classe ou un ADsPath. 

■ Le conteneur d'un objet peut gerer la creation et la suppression de cet objet. 

■ La definition du schema d'un objet peut etre obtenue. 

■ Les attributs d'un objet peuvent etre charges dans le cache de proprietes ADSI et les 
modifications peuvent etre transmises a la source de donnees originelles. 

■ Les attributs d'un objet charges dans le cache de proprietes ADSI peuvent etre modifies. 

Quatriemement, ADSI offre une interface supplementaire (lADsContainer) pour les objets 
qui sont des conteneurs (comme les unites d'organisation, ou UO). Lorsqu'elle est liee a un 
objet conteneur, cette interface propose des methodes communes pour creer, supprimer, 
deplacer, enumerer et gerer des objets enfants. 

Cinquiemement, ADSI conserve un cache cote client des proprietes pour chaque objet ADSI 
lie ou cree. Ce cache local des informations d'un objet ameliore les performances de lecture 
et d'ecriture dans une source de donnees car un programme ou un script accede moins souvent 
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a la source de donnees. II est important de comprendre que les informations d'objet conte- 
nues dans le cache des proprietes doivent etre transmises a la source de donnees originelles. 
Si les modifications d'un objet ne sont pas validees, elles ne sont pas repercutees dans la 
source de donnees d'origine. 

Apres cette presentation de l'interaction entre ADSI et les objets d'Active Directory, nous 
pouvons comparer son utilisation dans WSH et PowerShell. 

Utiliser ADSI dans WSH 

Dans WSH, il existe deux manieres d'utiliser ADSI. La premiere consiste a employer une 
methode (comme GetOb j ect ( ) de WSH) ou une fonction (comme GetOb j ect ( ) de VBScript) 
pour se connecter (se lier) a un objet Active Directory. Pour cela, nous utilisons le fournis- 
seur LDAP ou WinNT en precisant le chemin ADSI de l'objet : 

Set objUser = GetOb j ect ( " LDAP : / /CN=Garett Kopczynski,OU=Accounts,OU=Managed 
Objects, DC=companyabc,DC=com" ) 

Set objUser = GetObject( "WinNT: / /companyabc . com/garett" ) 

La seconde methode passe par ADO (ActiveX Data Objects). ADO permet aux applications 
et aux scripts d'acceder a des donnees provenant de differentes sources en utilisant des four- 
nisseurs OLE DB (Object Linking and Embedding Database). Lun d'eux est un fournisseur 
ADODB (ADSI OLE DB) , qui permet d' utiliser ADO et sa prise en charge de SQL (Structured 
Query Language) ou de LDAP pour effectuer des recherches rapides dans Active Directory. 
L'exemple suivant montre comment rechercher un compte d'utilisateur dans Active Directory 
en utilisant LDAP : 



Set objConnection = CreateObj ect ( "ADODB. Connection 


") 


Set ob j Command = CreateOb j ect ( "ADODB. Command " ) 




objConnection. Provider = "ADsDSOObj ect " 




objConnection. Open( "Active Directory Provider") 




objCommand.ActiveConnection = objConnection 




objCommand. Properties ("Page Size") = 1000 




ob j Command. CommandText = _ 




"<LDAP : //companyabc. com>; (&(objectCategory 


=user)" 


& " ( sAMAccountName=tyson ) ) ; sAMAccountName , 


distinguishedName; subtree" 


Set objRecordSet = objCommand . Execute 
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Si l'utilisateur existe, le jeu d'enregistre merits ADO obtenu est constitue de son sAMAccount - 
Name et de son distinguishedName. Cependant, cet exemple ne montre que la partie visible 
de l'iceberg. En utilisant SQL ou LDAP, nous pouvons ecrire des recherches plus elaborees 
et retrouver des informations complexes filtrees concernant des objets Active Directory. 
Grace a ADO, nos scripts Active Directory vont etre plus puissants. Cependant, cette puis- 
sance a un prix. Le fournisseur ADSI OLE DB n'autorise qu'un acces en lecture seule a 
Active Directory et, pour interagir avec des objets, nous devons passer par ADSI. 

Utiliser ADSI dans PowerShell 

Dans PowerShell, il existe egalement deux manieres de travailler avec Active Directory. La 
premiere, et la plus simple, consiste a utiliser le type abrege [ADSI ] . II est analogue a [WMI ] 
car le chemin de l'objet auquel nous nous connectons doit etre precise. En revanche, ce 
chemin est donne sous la forme d'un chemin ADSI : 



PS C:\> $Utilisateur = [ADSI] "LDAP: //CN=Garett Kopczynski , OU=Accounts , 
OU=Managed Ob j ects , DC=companyabc , DC=com" 



Cet exemple utilise un chemin ADSI LDAP, mais d'autres fournisseurs ADSI sont disponi- 
bles avec le type abrege [ADSI]. Comme nous l'avons explique au Chapitre 8, "PowerShell 
et WMI", le type abrege [ADSI] de PowerShell est un alias de la classe .NET System 
. DirectoryServices . DirectoryEnt ry, qui peut s'interfacer avec differents fournisseurs ADSI : 
IIS, LDAP, NDS et WinNT. Par exemple, pour acceder au meme compte d'utilisateur, mais 
au travers du fournisseur ADSI WinNT, nous utilisons la commande suivante : 



PS C:\> $Utilisateur = [ADSI] "WinNT: / /companyabc . com/garett " 



La deuxieme methode consiste a utiliser l'espace de noms .NET System . DirectoryServices par 
le biais de l'applet de commande New-Ob j ect. Dans ce cas, deux classes de composants nous 
permettent de gerer Active Directory. La premiere, System. DirectoryServices. Directory - 
Entry, est la meme classe que celle employee par le type abrege [ADSI ] . En voici un exemple : 



PS C:\> $Utilisateur = new-object DirectoryServices . DirectoryEntry ("LDAP:// 
CN=Garett Kopczynski,OU=Accounts,OU=Managed Objects,DC=companyabc,DC=com" ) 
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La seconde, System. DirectoryServices . DirectorySearcher, est une classe qui permet d'ef- 
fectuer des recherches LDAP : 



PS C:\> SChercheur = new-object DirectoryServices . DirectorySearcher 

PS C:\> SChercheur. Filter = " (&(obj ectCategory=person) (objectClass=user) 

(samAccountName=garett) ) " 

PS C:\> SUtilisateur = SChercheur . FindOne ( ) .GetDirectoryEntry ( ) 



Les methodes d'utilisation d'ADSI dans PowerShell sont comparables a celles dans WSH. 
Comme WSH, PowerShell dispose d'une methode directe impliquant la classe System. 
DirectoryServices . DirectoryEntry ou le type abrege [ ADSI ] pour se connecter a des objets 
Active Directory et les gerer. Par ailleurs, comme WSH, PowerShell propose une deuxieme 
methode qui s'appuie sur la classe System. DirectoryServices. DirectorySearcher pour 
effectuer des recherches dans Active Directory et obtenir des informations en lecture seule a 
propos des objets. 

Par consequent, la gestion d' Active Directory est pratiquement identique dans PowerShell et 
dans WSH. Meme si PowerShell utilise pour cela .NET Framework, les classes System. 
DirectoryServices . DirectoryEntry et System. DirectoryServices. DirectorySearcher ne 
sont que des interfaces .NET pour ADSI. Les differences entre WSH et PowerShell se situent 
uniquement dans les fonctions et les methodes de gestion d' Active Directory, ainsi que dans 
leur syntaxe. Les deux sections suivantes examinent ces similitudes en expliquant comment 
retrouver des informations sur un objet et comment creer un objet en utilisant VBScript et 
PowerShell. 

Obtenir des informations sur un objet 

Lexemple VBScript suivant se lie a l'objet d'utilisateur indique a l'aide de la methode 
VBScript GetObj ect ( ) et un fournisseur ADSI LDAP. Le script recupere ensuite les attributs 
Name, userPrincipalName, description et physicalDeliveryOfficeName de l'objet d'utilisa- 
teur. Enfin, il les affiche par 1' intermediate d'une boite de message ou sur la console : 

Set objUser = GetObj ect (" LDAP ://CN=Garett Kopczynski,OU=Accounts,OU=Managed Obje 
cts , DC=companyabc , DC=com " ) 

WScript.Echo objUser. Name 

WScript . Echo ob j User . userPrincipalName 

WScript.Echo objUser. description 

WScript . Echo ob j User . physicalDeliveryOfficeName 
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L'enregistrement de ce script dans le fichier getuserinf o . vbs et son execution avec cscript 
produisent les resultats suivants : 



C:\>cscript getuserinf o . vbs 

Microsoft (R) Windows Script Host Version 5.6 

Copyright (C) Microsoft Corporation 1996-2001. Tous droits reserves. 

CN=Garett Kopczynski 
Garett@companyabc . com 
Marketing Manager 
Dallas 

C:\> 



Pour effectuer la meme tache dans PowerShell, nous utilisons le type abrege [ADS I] pour 
etablir une liaison avec l'objet d'utilisateur indique. La methode ADSI Get( ) retrouve ses 
attributs : 



PS C:\> SUtilisateur = [ADSI] "LDAP: //CN=Garett Kopczynski , OU=Accounts , 0U=Man 
aged Ob j ects , DC=companyabc , DC=com " 

PS C:\> $Utilisateur.Get( "Name" ) 

Garett Kopczynski 

PS C:\> 



Une fois que nous sommes lies a l'objet d'utilisateur, nous pouvons acceder directement a 
ses attributs depuis PowerShell en utilisant n'importe quelle applet de mise en forme ou de 
manipulation de l'objet. Par exemple, pour acceder aux memes attributs que dans l'exemple 
VBScript et les afficher, nous invoquons 1' applet de commande Format - List : 



r ■« 

PS C:\> SUtilisateur 1 format-list Name, userPrincipalName, description, 


physicalDeliveryOfficeName 




name : 


: {Garett Kopczynski} 


userPrincipalName : 


: {Garett@taosage.net} 


description : 


: {Marketing Manager} 


physicalDeliveryOfficeName : 


: {Dallas} 


PS C:\> 

>- 
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Creer un objet 

L'exemple VBScript suivant se lie a l'UO Accounts en utilisant la methode VBScript 
GetOb j ect ( ) avec un fournisseur ADSI LDAP. Ensuite, le script invoque la methode ADSI 
Create ( ) pour creer un objet nomme David Lightman dans l'UO Accounts, puis il definit 
les attributs du nouvel objet d'utilisateur a l'aide de la methode ADSI Put(). Enfin, ce 
nouvel objet est enregistre dans Active Directory a l'aide de la methode ADSI Setlnf o( ). 
Un message d'etat concernant la creation de l'objet est affiche dans une boite de message 
ou sur la console : 

Set objOU = GetObject ( "LDAP: //OU=Accounts,OU=Managed Objects, DC=companyabc,DC=com" ) 

Set objUser = objOU. Create ( "user" , "CN=David Lightman") 

obj User. Put "sAMAccountName" , "dlightman" 

obj User. Put "sn", "Lightman" 

obj User. Put "givenName", "David" 

objUser. Put "userPrincipalName" , "dlightman@norad.gov" 

obj User. Setlnf o 

Wscript.Echo "Le compte d'utilisateur " & obj User. Get ("sAMAccountName") & " a ete cree." 

L' enregistre ment de ce script dans le fichier createuserinf o. vbs et son execution avec 
cscript produisent les resultats suivants : 



C:\>cscript createuserinf o. vbs 

Microsoft (R) Windows Script Host Version 5.6 

Copyright (C) Microsoft Corporation 1996-2001. Tous droits reserves. 

Le compte d'utilisateur dlightman a ete cree. 
C:\> 



Pour realiser la meme tache dans PowerShell, nous utilisons le type abrege [ADSI]. Les 
commandes resultantes ont une logique et une syntaxe analogues a celles de l'exemple 
VBScript. Par exemple, pour creer l'objet d'utilisateur, nous etablissons une liaison avec 
l'UO Accounts, puis nous creons un nouvel objet nomme David Lightman en invoquant la 
methode ADSI Create ( ). Ensuite, la methode ADSI Put( ) nous permet de definir les attri- 
buts de l'objet d'utilisateur, puis celui-ci est enregistre dans Active Directory grace a la 
methode ADSI Setlnf o ( ) . Enfin, pour verifier la creation du compte, nous nous lions a l'objet 
d'utilisateur via le type abrege [ADSI ] . 
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Cette procedure est mise en oeuvre par le code suivant : 



PS C:\> $U0 = [ADSI]"LDAP://OU=Accounts,OU=Managed Objects, DC=companyabc,DC=com" 

PS C:\> $NouvUtil = $UO.Create( "user" , "CN=David Lightman") 

PS C:\> $NouvUtil. Put ( "sAMAccountName" , "dlightman") 

PS C:\> $NouvUtil. Put ( "sn" , "Lightman") 

PS C:\> $NouvUtil.Put("givenName" , "David") 

PS C:\> $NouvUtil. Put ( "userPrincipalName" , "dlightmanianorad.gov") 
PS C:\> $NouvUtil.SetInfo() 

PS C:\> [ADSI ] " LDAP : / /CN=David Lightman , OU=Accounts , OU=Managed Objects, 
DC=companyabc , DC=com " 

distinguishedName 



{CN=David Lightman , OU=Accounts , OU=Managed Ob j ects , DC=companyabc , DC=com} 



PS C:\ 



Info 



Si vous essayez cet exemple dans votre environnement, vous remarquerez que I'objet d'utili- 
sateur resultant est initialement desactive, car la valeur par defaut de userAccountControl 
est 514, autrement dit le compte est desactive. Pour que cet exemple fonctionne, nous devons 
definir des parametres supplementaires, comme le mot de passe de I'uti! isateur, I'etat de son 
compte, son groupe, etc. 



De VBScript a PowerShell 

Cette section presente la conversion VBScript vers PowerShell d'un script qui determine si 
des utilisateurs sont membres d'un groupe precis. 

Au moment du developpement de ce script, companyabc.com etait en pleine migration des 
utilisateurs de l'ancienne application de gestion vers la nouvelle. Pour rationaliser le proces- 
sus et limiter les interruptions dans le travail des employes, la migration se faisait en plusieurs 
etapes. L'une d'elles consistait a produire la liste des utilisateurs a passer de l'ancienne appli- 
cation a la nouvelle. Chaque utilisateur de la liste devait arriver dans la nouvelle application 
avec une configuration etablie sur une appartenance a un groupe Active Directory. 
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Cependant, face aux milliers d'utilisateurs et de groupes, la verification manuelle des grou- 
pes de chaque utilisateur inscrit sur la liste de migration demandait beaucoup de temps et la 
generation des rapports beaucoup d'efforts. companyabc.com avait done besoin d'automatiser 
le processus de verification des groupes pour que la migration puisse se faire sans interrup- 
tion. Pour cela, cette entreprise a demande un script qui prenne la liste des utilisateurs a faire 
migrer et produise un rapport precisant les appartenances aux groupes de ces utilisateurs. 

Le script IsGroupMember.wsf 

isGroupMember .wsf est un fichier VBScript developpe pour s'occuper du processus de veri- 
fication des groupes de la societe companyabc.com. Vous en trouverez une copie dans le dossier 
ScriptsVChapitre 9\lsGroupMember et en telechargement depuis le site www.pearson- 
education.fr. Pour executer ce script, il est necessaire de definir deux parametres. L' argument 
de groupname doit indiquer le sAMAccountName du groupe pour lequel nous devons verifier 
1' appartenance de 1' utilisateur. L' argument d'importfile doit designer le nom du fichier CSV 
importe qui contient les utilisateurs devant etre verifies. Le parametre facultatif exportfile 
doit preciser le nom du fichier d' exportation dans lequel le script placera son rapport. 



Le fichier CSV importe doit contenir une seule colonne (sAMAccountName). Le fichier users, 
csv, qui se trouve dans le dossier Scripts\Chapitre 9\Is6roupMember et que vous pouvez 
telecharger depuis le site www.pearsoneducation.fr, en est un exemple. 



Voici la commande qui permet d'executer le script IsGroupMember.wsf et dont le resultat est 
presente a la Figure 9.1 : 



D: \Scripts>cscript IsGroupMember.wsf /groupname: "TAO-D-RA-LS-LocalWorkstation 
PowerUsers" /importfile: " . \ users .csv" /exportfile: "export . csv" 



Voici la suite des operations realisees par IsGroupMember.wsf : 

1. Le script teste la connexion avecledomaineactuel en obtenant son Defau It NamingCon text, 
qui sera utilise ensuite pour interroger Active Directory. Si la connexion echoue, le script 
s'arrete. 



2. II cree un objet de connexion ADO, utilise ensuite pour effectuer une recherche Active 
Directory a l'aide du fournisseur ADSI OLE DB. 
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C : \W IND0WS\system 3 2\c md . exe 



.nix 



C : \S c r ipt s >c s c r ipt Is GroupHe nber.usf /gro upn ame : "T fl O-D-Rfl -LS -Lo c a lWo rks t a t io n Po wP 
erUsers" /importf ile : ".\users .csu" /exportf ile : "export .csu" 
Microsoft <R> Uindows Script Host Uersion 5.6 

Copyright <C> Microsoft Corporation 1996 2001. Tous droits reserves. 

ttHHHttttHBttttBHHHBHHBHBHHBHHHHBBHHHBBHHflBHH i£ 

fl IsGroupflember ft 

ttflBflBttBBBttttBflBttflflBBttBBBBflBBBttBBBttttflBBttflfl 



Uerification de la connexion au domaine [OK] 
Btablissement de la connexion ADODB [OKI 
importation du fichier CSU [OK] 

Obtention des informations d' appartenance a un groupe [OK] 
Obtention des informations sur 1' ut ilisateur [OK] 

[Norn], [Est menbre] 

tyson.Oui 

maiko,0ui 

f ujo.Non 

dawn, Inexistant 

kiyomi,0ui 

med, Inexistant 

erica, Oui 

bill, Inexistant 

miro, Inexistant 

ye lena, Inexistant 



] 

] 



J 



_J 



Figure 9. 1 

Execution du script IsGroupMember.wsf. 



3. Ensuite, la fonction ParseFile ouvre le fichier CSV et lit les informations d'utilisateurs 
dans le tableau indique (arrUsers). Si le fichier precise est invalide, la fonction echoue 
et le script s'arrete. 

4. Le script interroge Active Directory a propos du groupe indique en passant par l'objet 
ADO. Si le groupe n'est pas valide, le script s'arrete. Dans le cas contraire, il se connecte 
au groupe en utilisant ADSI, recupere ses membres et les ajoute a l'objet Dictionary du 
groupe (dictGroup). 

5. Puis, le script parcourt chaque utilisateur du tableau arrUsers, se connecte a chaque 
objet d'utilisateur avec ADSI et recupere son distinguishedName. Les utilisateurs inva- 
lidessontajoutes a l'objet Diet ionaryd' utilisateur (diet Use rs)avec la valeur "Inexistant". 
Si l'utilisateur est valide, le script verifie l'existence de son distinguishedName dans 
l'objet dictGroup. Les utilisateurs membres du groupe sont ajoutes a l'objet dictUsers 
avec la valeur "Oui". Ceux qui ne font pas partie du groupe sont ajoutes a dictUsers avec 
la valeur "Non". 
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6. Enfin, le script affiche les informations de l'objet dictUsers sur la console. Si un fichier 
d'exportation a ete precise, ces memes informations y sont ecrites. 

Le premier extrait de code donne des elements XML initiaux d'un fichier WSF. lis definis- 
sent les parametres acceptes, decrivent le script, donnent des exemples d'utilisation et preci- 
sent le langage employe : 



<?xml version="1 .0" encoding="ISO-8859-1 "?> 
<package> 

<job id=" IsGroupMember"> 
<runtime> 

<description> 

************************************************************ 

Ce script verifie si des utilisateurs sont membres du groupe indique. 
************************************************************ 

</description> 

<named name="groupname" helpstring="Nom du groupe a verifier." 
type="string" required="1" /> 

<named name="importfile" helpstring=" Fichier CSV a importer." 
type="string" required="1" /> 

<named name="exportfile" helpstring=" Fichier CSV a exporter." 
type="string" required="0" /> 

<example> 
Exemple : 

cscript ISGroupMember .wsf /groupname: "monGroupe" /importfile: "users. csv" 
</example> 
</ runtime> 
<script language="VBScript"> 



<! [CDATA[ 




Le script verifie ensuite si des arguments ont ete definis pour les parametres obligatoires 
groupname et importfile. Si ce n'est pas le cas, il affiche les informations d'utilisation (defi- 
nies dans le code precedent) sur la console et se termine. Lorsque les arguments sont preci- 
ses, le script configure son environnement en definissant les variables utilisees par la suite. 

Puisque les tableaux VBScript ne simplifient pas l'enregistrement et l'acces aux donnees, ce 
script utilise l'objet Dictionary de la bibliotheque Windows Scripting Runtime Library 
(dictGroup et dictUsers). Contrairement aux tableaux habituels, l'objet Dictionary enregis- 
tre les donnees sous forme de paires cle/valeur. Grace a cette methode, nous pouvons acceder 
aux donnees du tableau en precisant la cle, utiliser les methodes et les proprietes de l'objet 
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Dictionary sur les donnees du tableau et ajouter ou retirer des donnees dynamiquement du 
tableau sans devoir le redimensionner : 



'On Error Resume Next 




Verifier les arguments obligatoires . 



If WScript .Arguments . Named . Exists ( "groupname" ) 

WScript. Arguments. Showllsage( ) 

WScript. Quit 
End If 



FALSE Then 



If WScript .Arguments . Named . Exists ( "importfile" 

WScript. Arguments. Showllsage( ) 

WScript. Quit 
End If 



FALSE Then 




Definir 1 1 environnement de travail. 



Const ForReading = 1 
Const ForWriting = 2 
ReDim arrUsers(0) 
Dim arrMemberOf 
Dim StdOut 
Dim FSO 

Dim strGroupName , strlmportFile , strExportFile 
Dim strDNSDomain , dictGroup, dictUsers 




Set StdOut = WScript. StdOut 

Set FSO = CreateObject("Scripting.FileSystemObject") 

Set dictGroup = CreateObject( "Scripting. Dictionary" ) 

Set dictUsers = CreateObject( "Scripting. Dictionary" ) 

strGroupName = WScript .Arguments . Named ( "groupname" ) 
strlmportFile = WScript .Arguments . Named (" importfile" ) 
strExportFile = WScript .Arguments . Named ( "exportfile" ) 



Le prochain extrait commence le code d' automation. Tout d'abord, le script affiche son en-tete 
sur la console, se lie a l'objet RootDSE et recupere le Def aultNamingContext. Nous procedons 
ainsi pour deux raisons. D'une part, le script verifie la validite d'une connexion au domaine 
Active Directory. Ce test est realise car si le script ne peut se connecter au domaine Active 
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Directory a ce stade de son execution, il echouera ensuite lorsqu'il tentera d'extraire des 
informations d'Active Directory. Comme au Chapitre 8, il s'agit d'une forme elaboree de 
gestion des erreurs, qui determine les risques d'echec d'un script inclut une methode qui les 
evite. 

D'autre part, le script doit obtenir le nom de domaine d'ouverture de session courant pour 
plus tard. Sans cette information, il devrait etre modifie afin de demander aux utilisateurs a 
quel domaine doivent etre reclamees les informations d'appartenance au groupe. Dans les 
environnements constitues de multiples domaines, cette fonctionnalite pourrait etre ajoutee 
au script. Cependant, dans notre exemple, elle est inutile et le script obtient le nom de domaine 
depuis l'objet RootDSE et le place dans la variable strDNSDomain : 



1 Commencer le travail. 

Mess "########################################" 
Mess "# IsGroupMember #" 

Mess "########################################" 
Mess vbNullString 



Tester la connexion au domaine. 



StatStart "Verification de la connexion au domaine" 
Set objRootDSE = GetObject("LDAP: //RootDSE") 
strDNSDomain = objRootDSE. Get( "DefaultNamingContext" ) 



Xerror 
StatDone 



Le code suivant cree un objet ADO (ob j Connection), qui sera utilise par la suite. La fonction 
ParseFile importe les informations d'utilisateur depuis le fichier CSV et les place dans le 
tableau arrUsers : 
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Set objConnection = CreateObj ect ( "ADODB . Connection" ) 
Set obj Command = CreateObj ect ( "ADODB. Command " ) 
objConnection. Provider = "ADsDSOObject" 
objConnection .Open ( "Active Directory Provider") 
objCommand . ActiveConnection = objConnection 
objCommand.Properties("Page Size") = 1000 



Xerror 
StatDone 



Importer le fichier CSV. 



StatStart "importation du fichier CSV" 
ParseFile strlmportFile, arrUsers 
StatDon 



Ensuite, le script utilise l'objet ADO cree pour effectuer une recherche LDAP sur le groupe 
indique dans le domaine Active Directory courant. En fonction des informations obtenues, il 
determine si le groupe existe et son distinguishedName. Puis, grace a ce distinguishedName, 
il se lie directement a l'objet de groupe dans Active Directory et obtient les membres du 
groupe, lesquels sont places dans le tableau arrMemberOf . Une boucle For parcourt ce tableau 
et ajoute chaque membre du groupe a l'objet dictGroup avec la valeur temporaire "A fixer" 
(qui peut etre quelconque, tant que la paire cle/valeur est complete) : 



Obtenir les informations d 1 appartenance a un groupe. 



StatStart "Obtention des informations d 1 appartenance a un groupe" 
objCommand. CommandText = 

" <LDAP : // " & strDNSDomain & " > ; (&(ob j ectCategory=group) " 

& " (sAMAccountName=" & strGroupName & ")) jdistinguishedName; subtree" 

Set objRecordSet = objCommand . Execute 

If objRecordset.RecordCount = 0 Then 
StdOut.Write(vbTab) 
StdOut.WriteLine( "Groupe invalide !") 
WScript. Quit() 
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Set objGroup = GetObject 

( " LDAP : / / " & objRecordSet . Fields( "distinguishedName" ) ) 
objGroup. getlnfo 

arrMemberOf = objGroup. GetEx( "member" ) 

For Each Member in arrMemberOf 

dictGroup . Add Member, "A fixer" 

Next 
End If 

Set objGroup = Nothing 
StdOut.Write(vbTab) 
StdOut.WriteLine(" [OK] 11 ) 



Le code suivant parcourt le tableau arrUsers cree lors de l'importation du fichier CSV 



Obtenir les informations sur 1 1 utilisateur . 



StatStart "Obtention des informations sur 1 1 utilisateur" 

For Each User In arrUsers 
Err. Clear 

objCommand.CommandText = _ 

" <LDAP : / / " & strDNSDomain & ">; (&(objectCategory=user) " 

& " (sAMAccountName=" & User & " ) ) ;distinguishedName;subtree" 

Set objRecordSet = objCommand. Execute 

If obj Recordset . RecordCount = 0 Then 
dictUsers . Add User, "Inexistant " 

Else 

strUserDN = obj RecordSet . Fields ( "distinguishedName" ) 



If (dictGroup. Exists(strUserDN) = True) Then 
dictUsers. Add User, "Oui" 

Else 

dictUsers. Add User, "Non" 
End If 
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Pour chaque utilisateur, le script lance une recherche LDAP dans le domaine d'ouverture de 
session courant en utilisant l'objet ADO. Les utilisateurs qui n'existent pas sont ajoutes a 
l'objet dictUsers avec la valeur "Inexistant". En revanche, lorsqu'un utilisateur existe, le 
script prend son distinguishedName dans le jeu d'enregistrements retourne par la recherche 
LDAP et, par une comparaison, determine si cet utilisateur existe dans l'objet dictGroup. 

Pour effectuer cette comparaison, le script utilise la methode Exists ( ) de l'objet Dictionary. 
Elle permet de verifier l'existence d'une cle dans l'objet Dictionary. Cette possibility est la 
principale raison d'utiliser l'objet Dictionary a la place d'un tableau VBScript. Ensuite, en 
fonction de la valeur retournee par la methode Exists ( ) , le script ajoute l'utilisateur a l'objet 
dictUsers avec la valeur "Oui", pour indiquer qu'il appartient au groupe, ou avec la valeur 
"Non", s'il n'est pas membre du groupe. 

Nous obtenons une collection d' informations d'utilisateur dans l'objet dictUsers. Le script 
prend ensuite chaque utilisateur present dans l'objet dictUsers et affiche ses informations 
sur la console : 



Mess vbNullString 
Mess "[Norn], [Est membre]" 



For Each User In dictUsers 
StdOut. Write User & 
StdOut .WriteLine dictUsers . I tern (User) 

Next 




Si la variable exportfile a ete definie lors de l'execution du script, le fichier d'exportation 
est cree a l'aide de l'objet FSO. Puis, le script parcourt a nouveau l'objet dictUsers et ecrit 
les informations des utilisateurs dans ce fichier. 
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Le code suivant implemente cette procedure : 



Creer un fichier d 1 exportation . 



Mess vbNullString 

StdOut .Write "Creation du fichier d 1 exportation" 

If strExportFile <> "" Then 

Set obj ExportFile = FSO.OpenTextFile(strExportFile, ForWriting, TRUE) 

For Each User In dictUsers 

obj ExportFile. Write User & "," 

obj ExportFile .WriteLine dictUsers . Item (User) 

Next 

obj Export File. Close ( ) 

Set obj ExportFile = Nothing 

StdOut. WriteLine "[OK]" 



End If 




Le dernier extrait de code est constitute des procedures et fonctions utilisees par le script, ainsi 
que des elements XML qui le terminent. II est inutile de revenir sur cette partie du script car ces 
procedures et fonctions sont suffisamment explicites ou ont deja ete presentees : 



Procedures . 



Procedure generale pour les messages. 



Sub Mess (Message) 

1 Ecrire sur la console. 

StdOut .WriteLine(Message) 
End Sub 



Procedure generale pour le debut d'un message. 



Sub StatStart (Message) 

1 Ecrire sur la console. 
StdOut .Write (Message) 
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End Sub 



Procedure generale pour la fin d'un message. 



Sub StatDone 

' Ecrire sur la console. 
StdOut. Write (vbTab & vbTab) 
StdOut.WriteLine("[OK]") 

End Sub 



Procedure generale pour Xerror. 



Sub Xerror 

If Err. Number <> 0 Then 

1 Ecrire sur la console. 
StdOut .WriteLine ( " Erreur fatale 
& " " & Err. Description) 



" & CStr(Err. Number) 



WScript. Quit() 
End If 
End Sub 



Fonctions . 



Function ParseFile(file, arrname) 
' Analyser un fichier 
' (la premiere ligne 
On Error Resume Next 
count = -1 

' Ouvrir le fichier en xcouuic. 
Set objFile = FSO.OpenTextFile(file, ForReading) 

objFile.SkipLine ' Note : cette ligne contient les en-tetes de colonnes. 
Xerror 

' Lire chaque ligne du fichier et la placer dans un tableau. 
Do While ob j File. AtEndOf Stream <> True 
count = count + 1 

If count > UBound (arrname) Then ReDim Preserve arrname(count) 
arrname(count) = obj File . Readline 
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Loop 
Xerror 



1 Fermer le fichier. 

objFile.Close() 

Set ob] File = Nothing 

count = 0 
End Function 
]]> 

</script> 
</ job> 
</package> 



Le script IsGroupMember.psI 

isGroupMember.psl est une version PowerShell du script isGroupMember.wsf . Vous en trou- 
verez une copie dans le dossier Scripts\Chapitre 9\lsGroupMember et en telechargement 
depuis le site www.pearsoneducation.fr. Pour executer ce script, il est necessaire de definir 
deux parametres. L' argument de GroupName doit indiquer le sAMAccountName du groupe pour 
lequel nous devons verifier l'appartenance de l'utilisateur. L' argument d'lmportFile doit 
designer le nom du fichier CSV importe qui contient les utilisateurs a verifier. Le parametre 
facultatif ExportFile doit preciser le nom du fichier d'exportation dans lequel le script pourra 
ecrire son rapport. Voici la commande d'execution du script isGroupMember . psl : 



PS D: \Scripts> . \ IsGroupMember.psl "TAO-D-RA-LS-LocalWorkstationPowerUsers" ".\ 
users. csv" "export. csv" 



La Figure 9.2 montre l'execution du script IsGroupMember.psl sans qu'un fichier d'exporta- 
tion soit precise et la Figure 9.3 montre son execution avec un fichier d'exportation. 

Voici la suite des operations realisees par le script isGroupMember . psl : 

1. II se connecte au domaine d'ouverture de session actuel en utilisant la classe .NET 
System . DirectoryServices . ActiveDirectory . Domain, puis il obtient le nom du domaine 
et l'affiche sur la console PowerShell. Si la connexion echoue, le script s'arrete. 

2. II verifie que le groupe indique existe dans le domaine actuel en utilisant la fonction Get - 
ADOb j ect. Si c'est le cas, la fonction retourne un objet lie a l'objet de groupe dans Active 
Directory ($Group). Sinon, le script se termine. 

3. II utilise l'applet de commande Test -Path pour verifier que le fichier CSV a importer est 
valide. Si ce n'est pas le cas, le script se termine. 



250 Partie 2 



Appliquer ses connaissances a PowerShell 



PS C:\Scripts> -MsGroupMember.psl "TfiO-D-Rfl-LS-LocalWorkstationPowerUsers" "-\u 
sers .csu" 

tttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttt 

It Script I sGroupMenber 

tt Usage : Ce script uerif ie si des utilisateurs sont nembres du groupe i 

ndique . 



I 



tt Utilisateur : tyson 
tt Date : Tue Oct 30 11:27:10 

ttttttttStttttttttt»tttttt»«tt»fltttt»ttStt«ttStt«Stt«ttStttttt 

Uerif ication de la connexion au donaine 
Uerif icat ion du non du groupe [OK] 
Uerif icat ion du fichier a importer 

SHMAccountName 

tyson 

naiko 

f ujio 

dawn 

kiyoni 

pied 

erica 

bill 

niro 

ye lena 



2007 

taosage . internal 
[OK] 
I s Member 



Oui 
Oui 
Non 

Inexistant 
Non 

Inexistant 
Oui 

Inexistant 
Inexistant 
Inexistant 



Figure 9.2 

Execution du script IsGroupMember.psI sans fichier d' exportation. 



I 



> C:\WINDOWS\system32\WindowsPowerShell\v1 .0\PowerShell.exe BSD 

PS C:SScripts> . \I sGroupMenber . psl "TAO-D-RA-LS-LocalUorks t at ionPowerUsers " ". 
sers .csu" "export .csu" 

Hnnill1HHHHtinttttHHIttinHttttHHHnHttHHHH1111(tni1Htj 

tt Script I sGroupMember 

tt Usage : Ce script uerif ie si des utilisateurs sont nembres du groupe 

ndique . 

tt Utilisateur : tyson 

tt Date : Tue Oct 30 11:27:54 2007 

tttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttt 

Uerif ication de la connexion au donaine taosage . internal 
Uerification du non du groupe [OK] 
Uerif icat ion du fichier a importer [OK] 

Exportation des donnees dans - export. csu 

PS C:\Scripts> 



Figure 9.3 

Execution du script IsGroupMember.psI avec fichier d'exportation. 
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4. II invoque l'applet de commande Import -Csv pour placer le contenu du fichier CSV dans 
la variable $Users. 

5. II appelle la fonction Get -ADOb j ect pour verifier que chaque utilisateur de la collection 
$Users existe dans le domaine actuel et pour se lier a l'objet d'utilisateur correspondant 
dans Active Directory. 

6. Si l'utilisateur existe, le script compare son distinguishedName aux noms distinctifs 
dans l'attribut de membre du groupe indique ($Group). Lorsqu'une correspondance est 
trouvee, l'objet d'utilisateur est etendu a l'aide de l'applet de commande Add -Member 
pour indiquer que l'utilisateur est membre du groupe ("Oui"). Dans le cas contraire, il est 
etendu de maniere a indiquer que l'utilisateur n'est pas membre du groupe ("Non"). Si 
l'utilisateur n'existe pas dans le domaine actuel, l'objet d'utilisateur est etendu pour 
indiquer ce fait ("Inexistant"). 

7. Si un fichier d'exportation a ete precise, le script utilise l'applet de commande Export - Csv 
pour creer un fichier CSV a partir du contenu de la variable $Users. Si ce fichier n'est pas 
demande, il affiche ce contenu sur la console de PowerShell. 

Le premier extrait de code contient l'en-tete du script isGroupMember.psl. II fournit des 
informations sur le role du script, sa date de derniere mise a jour et son auteur. Juste apres 
l'en-tete, nous trouvons les parametres du script : 

################################################## 

# IsGroupMember.psl 

# Ce script verifie si des utilisateurs sont membres du groupe indique. 
# 

# Cree le: 21/10/2006 

# Auteur : Tyson Kopczynski 

################################################## 

param( [string] $GroupName, [string] $ImportFile, [string] $ExportFile) 



Ensuite, le script contient les fonctions Get -ScriptHeader et Show-ScriptUsage : 



################################################## 




# Fonctions. 




################################################## 
# 




# Get-ScriptHeader 
# 




# Usage : Generer 1 1 instruction d'en-tete du script. 
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# $Name : 

# $Usage 



Norn du script. 
Role du script. 



function Get -ScriptHeader{ 
param ($Name, $Usage) 

$Date = Date 

$Text = „###################################### 
$Text += „# Script $Name ' n" 

$Text += "# Usage : $Usage ' n" 

$Text += "# Utilisateur : $Env : username ' n" 
$Text += "# Date : $Date ~n" 

$Text += "######################################" 

$Text 
} 



# Show-ScriptUsage 

# 

# Usage : Afficher les informations d 1 utilisation de script. 



function Show-ScriptUsage{ 



write-host 
write-host 

write-host 
write-host 
write-host 
write-host 
write-host 
write-host 
write-host 
write-host 
write-host 
write-host 
write-host 
write-host 

write-host 
} 



'Usage : ISGroupMember -GroupName valeur" 

" - ImportFile valeur -ExportFile valeur" 



"Options :" 

"GroupName 
" ImportFile 
"ExportFile 



: : nom du groupe a verifier." 
t : fichier CSV a importer." 
t : [facultatif] fichier CSV a exporter. 



'Format CSV : " 
"sAMAccountName" 

'Exemple :" 

ISGroupMember. ps1 "monGroupe" ' 

' "utilisateurs.csv" " resultats . csv" 
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Ces fonctions sont utilisees pour afficher les informations d' utilisation du script, de maniere 
analogue a celles affichees par un script WSF : 



PS D:\Scripts> . \IsGroupMember.ps1 
Veuillez preciser le nom du groupe ! 

###################################### 

# Script IsGroupMember 

# Usage : Ce script verifie si des utilisateurs sont membres du groupe 

indique. 

# Utilisateur : tyson 

# Date : Mon Oct 22 17:37:19 2007 
###################################### 

Usage : ISGroupMember -GroupName valeur -ImportFile valeur -ExportFile valeur 
Options : 

GroupName : nom du groupe a verifier. 

ImportFile : fichier CSV a importer. 

ExportFile : [facultatif] fichier CSV a exporter. 

Format CSV : 
sAMAccountName 

Exemple : 

ISGroupMember. ps1 "monGroupe" "utilisateurs. csv" "resultats.csv" 
PS D:\Scripts> 



Un fichier WSF a cela d'interessant qu'il peut fournir aux utilisateurs des informations sur 
l'objectif du script, ses parametres et des exemples d' utilisation. lis n'ont done pas besoin de 
lire les commentaires ou de se referer a une documentation externe pour comprendre le role 
du script et son usage. Cette caracteristique ameliore l'experience de l'utilisateur avec un 
script d' automation et augmente done les chances qu'il soit considere comme indispensable. 

Malheureusement, cette fonctionnalite n'existe pas dans PowerShell. Au mieux, nous pouvons 
definir les parametres requis et afficher des informations sur leur utilisation au moyen du mot 
cle throw. Ce mot cle a ete employe dans les scripts precedents, mais il n'affichait aucune 
information dans un format aussi convivial que celui des scripts WSF. Pour obtenir le meme 
niveau d'interface, nousavons developpe les fonctions Show -ScriptUsageet Get -ScriptHeader. 
La premiere, Show-ScriptUsage, definit le role du script, ses parametres et son utilisation. 
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Meme si nous pouvons reemployer la structure de cette fonction dans d'autres scripts, son 
contenu est statique et doit etre modifie chaque fois. La seconde, Get -ScriptHeader, affiche 
simplement le titre du script. Elle peut servir dans d'autres scripts sans grandes modifica- 
tions, car les parametres $Name et $Usage definissent les informations affichees. 

Au final, les informations d'utilisation du script affichees dans l'exemple precedent grace a 
ces fonctions sont comparables a ce que peut produire un script WSF. Bien que la modifica- 
tion de Show-ScriptUsage dans chaque nouveau script soit un peu penible, ces fonctions 
generiques simples ont l'avantage de montrer qu'un script a ete ecrit pour ses utilisateurs et 
non pour des developpeurs. Nous utiliserons ces fonctions dans la suite de cet ouvrage. 



Info 



Nous pouvons ameliorer la fonction Show-ScriptUsage en la rendant plus generique et eviter 
ainsi sa modification dans les autres scripts. Par exemple, les informations retournees par 
cette fonction peuvent s'appuyer sur une chaTne XML dont la structure ressemble a celle d'un 
fichier WSF. 



Apres ces fonctions outils, les deux suivantes mettent en oeuvre les interactions avec Active 
Directory : 




# Get -CurrentDomain 
# 

# Usage : Obtenir le domaine actuel 



function Get -CurrentDomain{ 

[System. DirectoryServices .Act iveDirectory . Domain] : :GetCur rent Domain ( ) 
} 



# Get-ADObject 

# 



# Usage 

# $Item 

# $Name 

# $Cat : 



Retrouver un objet depuis Active Directory. 
Element de l'objet (sAMAccountName ou distinguishedName) 
Norn de l'objet (sAMAccountName ou distinguishedName). 
Categorie de l'objet. 



function Get -ADObj ect{ 

param ($Item, $Name, $Cat) 
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trap{Continue} 

$Searcher = new-object DirectoryServices . DirectorySearcher 
$SearchItem = "$Item" 
$SearchValue = "$Name" 
$SearchCat = "$Cat" 

$Searcher. Filter = 

" (&($($SearchItem)=$($SearchValue) ) (objectCategory=$($SearchCat) ) ) ' 



$Searcher . FindOne ( ) .GetDirectory Entry ( ) 

} 



La premiere fonction, Get -CurrentDomain, est simple et se contente d'etablir une liaison avec 
l'objet du domaine d'ouverture de session courant. Pour cela, elle s'appuie sur une reference 
.NET Framework a la classe System. DirectoryServices. ActiveDirectory . Domain (voir le 
Chapitre 3, "Presentation avancee de PowerShell") avec la methode GetCurrentDomain( ). 
Ensuite, elle retourne l'objet de domaine resultant, qui verifie la connexion au domaine et 
fournit une methode permettant d'afficher le nom DNS du domaine aux utilisateurs de script 
(un rappel visuel indiquant que les informations du domaine sont en cours de consultation). 

La deuxieme fonction, Get -ADOb j ect, verifie l'existence d'un objet dans Active Directory en 
fonction d'un identifiant unique, comme l'attribut sAMAccountName ou distinguishedName. 
Ensuite, elle se connecte a cet objet a l'aide de la classe System. DirectoryServices. 
DirectorySearcher, qui est une methode .NET pour effectuer des recherches Active Directory. 
Lors de l'appel a Get -ADOb j ect, nous devons fournir l'identifiant unique de l'objet ($Name), 
le type ($Item) de cet identifiant unique (sAMAccountName ou distinguishedName) et le type 
(Utilisateur, Ordinateur ou Groupe) de la categorie ($Cat) de l'objet. A partir de ces valeurs, 
Get -ADOb] ect cree un objet $Searcher, dont il fixe la propriete Filter a une chaine de recher- 
che LDAP fondee sur les valeurs fournies. Ensuite cette fonction utilise la methode FindOne ( ) 
de l'objet SSearcher pour effectuer la recherche et obtenir uniquement la premiere entree 
trouvee. Enfin, la methode GetDirectoryEntry ( ) est invoquee sur l'entree obtenue afin 
d'etablir une liaison avec l'objet Active Directory reference. A ce stade, soit nous avons 
verifie qu'un objet existe, soit nous pouvons interroger l'objet retourne par la fonction pour 
plus d' informations. 
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Dans l'extrait de code suivant, les variables $ScriptName et $ScriptUsage sont definies. Elles 
seront employees plus loin pour afficher les informations d' utilisation du script : 

################################################## 

# Code principal. 

################################################## 
# 

# Definir les variables de configuration. 

# 

$ScriptName = " IsGroupMember" 

$ScriptUsage = "Ce script verifie si des utilisateurs sont membres du groupe 
indique . " 




Outre l'affichage des informations sur l'utilisation du script, les fonctions Get -ScriptHeader 
et Show-ScriptUsage presentent egalement une aide lorsque les utilisateurs indiquent en 
premier argument l'une des chaines suivantes : -?, -h et -help. Pour cela, le script se sert de 
l'operateur de comparaison de correspondance : $args[0] -match 1 - ( \?l (hi (help) ) ) 1 : 

# 

# Verifier les parametres obligatoires . 

# 

if ($args[0] -match ' - ( \?l ( hi ( help) ) ) 1 ) { 
write-host 

Get -ScriptHeader $ScriptName $ScriptUsage 

Show-ScriptUsage 

Return 

} 



Les deux portions de code suivantes sont des methodes de verification des parametres obli- 
gatoires du script. Les exemples precedents s'appuyaient sur le mot cle throw lors de la 
definition d'un parametre (avec le mot cle param) et indiquaient ainsi les parametres requis. 
Dans ce script, a la place du mot cle throw, nous verifions la presence du parametre obliga- 
toire et, s'il est absent, nous affichons aux utilisateurs un message d'aide leur indiquant qu'ils 
ont oublie de preciser un argument. Nous pouvons egalement leur afficher des informations 
a propos des parametres, de leur utilisation et des exemples d'arguments. 

Enfin, Get -ScriptHeader affiche l'en-tete du script. Les utilisateurs ont ainsi la confirmation 
qu'ils executent le bon script. Par ailleurs, si le script demande plusieurs heures avant de se 
terminer, l'en-tete contient la date et l'heure de lancement. 
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L'objectif de cette fonction est d'ameliorer la convivialite du script, une qualite souvent 
negligee dans les scripts et les interfaces en ligne de commande. L' absence de facilite d'uti- 
lisation fait partie des raisons qui ont maintenu les administrateurs de systemes Windows a 
l'ecart des scripts et des CLI pour la gestion de leurs environnements Windows. L'equipe de 
developpement de PowerShell a reconnu les problemes de convivialite des langages de 
scripts precedents et a fait un effort particulier pour creer un shell et un langage pas seule- 
ment destine aux developpeurs, mais egalement aux utilisateurs. Lorsque vous developpez 
des scripts, gardez les utilisateurs en perspective. Comme nous l'avons explique au Chapitre 5, 
"Suivre les bonnes pratiques", l'automation n'est qu'une partie du developpement d'un script. 

if ( !$GroupName) { 
write-host 

write-host "Veuillez preciser le nom du groupe !" -Foregroundcolor Red 
write-host 

Get -ScriptHeader $ScriptName $ScriptUsage 

Show-ScriptUsage 

Return 

} 

if ( !$ImportFile){ 
write-host 

write-host "Veuillez preciser le nom du fichier CSV a importer !" 

-Foregroundcolor Red 

write-host 

Get -ScriptHeader SScriptName $ScriptUsage 

Show-ScriptUsage 

Return 

Dans le code suivant, la fonction Get -ScriptHeader indique a l'utilisateur du script que la 
partie automation vient de demarrer : 



# 

# Debut du script. 

# 

write-host 

Get -ScriptHeader $ScriptName $ScriptUsage 
write - host 
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Le script doit ensuite verifier qu'il existe une connexion valide au domaine. Pour cela, il 
invoque Get-CurrentDomain. S'il n'existe aucune connexion valide, le script se termine et 
retourne son code d'etat. Dans le cas contraire, il poursuit son execution et affiche le nom de 
domaine sur la console : 

■{ 

trap{write-host 't "[ERREUR]" -Foregroundcolor Red; 
throw write-host $_ -Foregroundcolor Red; 
Break} 

write-host "Verification de la connexion au domaine" -NoNewLine 

# Tester la connexion au domaine. 
$Domain = Get-CurrentDomain 

# Afficher le nom du domaine. 

write-host ~t $Domain.Name -Foregroundcolor Green 

} 

Nous verifions ensuite le nom du groupe dans la variable $GroupName. Pour cela, le script se 
sert de la fonction Get -ADOb j ect. Elle se connecte a Active Directory et recherche le groupe 
par son nom. Si la fonction retourne un objet, le nom du groupe est valide. Sinon, le nom du 
groupe est considere comme invalide et le script se termine : 

write-host "Verification du nom du groupe" -NoNewLine 
# Obtenir le groupe. 

$Group = Get-ADObject "sAMAccountName" $GroupName "Group" 

if (!$Group){ 

write-host N t "Invalide !" -Foregroundcolor Red 

write-host 

Break 

} 

else{ 

write-host "t "[OK]" -Foregroundcolor Green 
} 
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La derniere verification concerne la validite du nom du fichier a importer. Pour cela, nous 
utilisons l'applet de commande Test - Path avec la variable $lmportFile : 

write-host "Verification du fichier a importer" -NoNewLine 



if (! (test -path $ImportFile -pathType leaf)){ 

write-host 't "Fichier invalide !" -Foregroundcolor Red 
write-host 
Break 
} 

else{ 

write-host 't "[OK]" -Foregroundcolor Green 
} 



Dans le code suivant, le script termine la verification d'appartenance de l'utilisateur a un 
groupe. Comme nous l'avons explique precedemment, en fonction de la validite de l'utilisa- 
teur dans Active Directory et de son appartenance au groupe indique ($GroupName), le script 
complete l'objet d'utilisateur dans la collection $Users : 

# 

# Verifier 1 1 appartenance de chaque utilisateur au groupe. 

# 

$Users = import-csv $ImportFile 

foreach ($User in $Users){ 
&{ 

SsAMAccountName = $User . sAMAccountName 

$ADUser = Get-ADObject "sAMAccountName" SsAMAccountName "User" 

if ($ADUser){ 

[string]$DN = $ADUser.distinguishedName 



$IsMember = $Group . Member I 

where {$_ -eq $DN} 
if ($IsMember){ 

add-member -inputObject $User -membertype noteProperty 
-name "IsMember" -value "Qui" 
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else{ 

add -member -inputObject $User -membertype noteProperty 
-name "IsMember" -value "Non" 

} 

} 

else{ 

# Et si utilisateur n'existe pas ? 

add-member -inputObject $User -membertype noteProperty 
-name "IsMember" -value "Inexistant" 

} 



Au cours des chapitres precedents, nous avons explique que l'operateur d'appel & execute un 
bloc de code du script dans sa propre portee. Lorsqu'il se termine, sa portee est detruite avec 
tout ce qu'elle contient. 

Dans l'exemple de code precedent, l'operateur & nous permet de reutiliser les noms de varia- 
bles sans nous preoccuper des anciennes donnees. Par exemple, lorsque nous sortons de la 
boucle For, les noms de variables SsAMAccountName et $ADUser restent des objets valides. 
Pour ne pas nous servir par megarde ces anciens objets, nous utilisons l'operateur d'appel & 
afin de detruire l'objet apres 1' execution du bloc de code. 

L'extrait de code suivant affiche le contenu de la collection $Users sur la console. Si un 
fichier d'exportation a ete precise, le contenu y est alors ecrit au format CSV en utilisant 
1' applet de commande Export - CSV. 

if ( !$ExportFile){ 
$Users 
} 

else{ 

write-host 

write-host "Exportation des donnees dans : " -NoNewLine 

$Users I export-csv $ExportFile 

write-host "$ExportFile" -Foregroundcolor Green 

write-host 

} 
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En resume 

Au long de ce chapitre, nous avons examine 1' interaction entre PowerShell et ADSI, ainsi 
que l'acces a des objets Active Directory. Nous avons vu que PowerShell offre les memes 
interfaces de gestion d'Active Directory que WSH, si ce n'est plus, grace a sa compatibilite 
.NET Framework. Par ailleurs, nous avons etudie un script operationnel qui determine si des 
utilisateurs sont membres d'un groupe. Comme avec WSH, il s'agit seulement de l'un des 
nombreux types de scripts de gestion d'Active Directory que nous pouvons developper avec 
PowerShell. 



Ill 
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les besoins d' automation 
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Utiliser PowerShell 
en situation reelle 

Dans ce chapitre 

■ Le script PSShell.ps 1 

■ Le script ChangeLocalAdminPassword.ps 1 

Ce chapitre illustre la puissance de PowerShell dans la gestion des environnements 
Windows. Nous passons en revue deux scripts PowerShell utilises pour la gestion des 
systemes. Le premier, PSShell.psl, se charge des interactions entre l'utilisateur et le 
bureau de Windows en creant un remplacant controle, securise et seduisant du bureau. Le 
second, ChangeLocalAdminPassword.psl, gere les mots de passe de l'administrateur local 
sur des serveurs d'un domaine Active Directory. 

Ces scripts montrent comment satisfaire les besoins de gestion des systemes dans une entre- 
prise. Lors de 1' etude de chaque script, vous apprendrez de nouveaux concepts PowerShell 
et verrez comment les appliquer a vos propres besoins. 

Le script PSShell.psl 

PSShell.psl peut etre employe comme un shell securise pour les kiosques informatiques. 
Vous en trouverez une copie dans le dossier Scripts\Chapitre l0\PSShell et en telecharge- 
ment sur le site www.pearsoneducation.fr. Ce script exige que vous compreniez comment 
se passe le remplacement du shell de Windows. Lisez bien les sections suivantes a propos des 
composants du script arm que vous sachiez comment le deployer et l'utiliser efficacement. 
Cependant, nous devons commencer par presenter les raisons de ce script. 
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companyabc.com fabrique des processeurs pour le grand public et le gouvernement ameri- 
cain. Le personnel qui travaille sur les processeurs destines au gouvernement doit posseder 
certaines autorisations de securite, et toutes les donnees associees a la fabrication de ces 
processeurs doivent etre securisees afin d'eviter leur diffusion aupres d'entites non autori- 
sees, tant internes qu'externes a la societe. 

Ces contraintes securitaires posent un probleme a companyabc.com. Son service informati- 
que doit mettre en oeuvre des procedures metier differentes pour les contrats grand public et 
ceux gouvernementaux. Par ailleurs, le directeur de companyabc.com a souhaite un systeme 
centralise, autrement dit que tous les utilisateurs aient acces aux donnees et aux applications 
depuis n'importe quel ordinateur. Ce fonctionnement complexifie d'autant les mesures de 
securite. 

Pour satisfaire ces contraintes, le service informatique a deploye des fermes de serveurs 
WTS (Windows Terminal Services). Les utilisateurs qui travaillent pour le grand public acce- 
dent a des serveurs ayant un niveau de securite faible, tandis que ceux qui travaillent sur les 
contrats gouvernementaux accedent a des serveurs WTS isoles des autres utilisateurs et avec 
un niveau de securite tres eleve. 

II a egalement ete decide que les connexions aux fermes WTS se feraient via des clients 
legers, afin d'accelerer le deploiement et de maitriser totalement la securite des acces et des 
donnees. Cependant, meme si companyabc.com disposait du budget pour mettre en place les 
fermes WTS, les fonds permettant d'acheter les clients legers et les logiciels adequats pour 
tous les utilisateurs n'etaient pas disponibles. Pour compliquer les choses, la societe etait 
recemment passee a des systemes Windows XP. Par ailleurs, le materiel bureautique venait 
d'etre achete et devrait done etre utilise encore quelques annees avant d'etre remplace. 

Pour ne pas depasser le budget alloue, le service informatique a recherche une solution bon 
marche permettant de convertir les systemes Windows XP existants en clients legers. Lun des 
administrateurs systeme a lu un article technique concernant le remplacement du shell de 
Windows afin de convertir un bureau Windows XP en un kiosque securise, mais cela impliquait 
le remplacement de l'Explorateur Windows par Internet Explorer pour creer l'interface du 
kiosque. Si cette methode convient parfaitement a un simple kiosque de navigation sur le Web, 
le service informatique avait quant a lui besoin d'un controle total sur le shell d'interface. 

Pour resoudre ce probleme, le service informatique a decide d'utiliser PowerShell et sa 
compatibilite avec .NET Windows Forms pour offrir un remplacement personnalisable du 
shell pour l'Explorateur Windows. Apres quelques developpements et tests, la solution aux 
besoins de clients legers de companyabc.com a ete un hybride entre plusieurs composants 
differents. Ces composants incluent un shell de remplacement de Windows, qui utilise cmd . exe 
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comme shell de base, et un script PowerShell, qui s'appuie sur Windows Forms pour presen- 
ter un bureau securise de type Explorateur Windows aux utilisateurs. Les sections suivantes 
detaillent les composants de PSShell. psl (nomme Kiosque PSShell). 

Composant 1 : shell de remplacement 

Le premier composant de Kiosque PSShell est le shell de remplacement. Par defaut, Windows 
utilise explorer.exe comme interface avec le systeme d'exploitation. Cependant, ce shell 
n'est absolument pas necessaire au fonctionnement de Windows. Parfois, les utilisateurs 
souhaitent disposer de fonctionnalites non fournies par l'Explorateur Windows ou veulent 
reduire les fonctionnalites afin d'ameliorer la securite, ce qui est le cas de companyabc.com. 

Les utilisateurs et les administrateurs de Windows peuvent modifier explorer.exe ou le 
remplacer par un autre shell (ce qui n'est pas forcement pris en charge par Microsoft). Cette 
procedure se nomme "remplacement du shell de Windows" (Windows Shell Replacement). 
Differents shells peuvent etre employes comme remplacants. Cela va des shells graphiques, 
comme Internet Explorer (iexplore.exe), Geoshell et LiteStep, aux shells en ligne de 
commande, comme cmd . exe, command . com et meme PowerShell. 

II existe deux methodes pour remplacer explorer.exe. La premiere consiste a modifier le 
Registre de Windows et a preciser le shell de remplacement dans la valeur Shell de la cle 
HKEY_LOCAL_MACHINE\Sof tware\ Microsoft \Windows NT\CurrentVersion\Winlogon. 

Pour companyabc.com, la modification du Registre sur chaque machine Windows XP n'efait 
pas envisageable. Par ailleurs, le remplacement du shell pour l'integralite du systeme n'est pas 
prudent. Supposons que des techniciens doivent se connecter a des machines pour effectuer une 
operation de maintenance. Si le shell par defaut du systeme a ete remplace par le biais de la 
methode du Registre, les techniciens n'ont d'autres choix que d'utiliser le shell de remplace- 
ment limite car la modification a ete effectuee pour tous les utilisateurs. Meme si le Registre 
permet d'activer un shell de remplacement en fonction des utilisateurs, cette solution n'est pas 
une methode conviviale et efficace de deployer des shells, comme l'a decouvert le service 
informatique de companyabc.com. 

La seconde methode permettant de remplacer explorer.exe passe par un parametre de GPO 
(Group Policy Object) baptise Interface utilisateur personnalisee. II permet de preciser le shell des 
utilisateurs lorsqu'ils ouvrent une session sur une machine. Lutilisation des GPO a l'avantage 
d'offrir la centralisation et la facilite de gestion. Par ailleurs, nous pouvons definir differentes 
configurations de shells en fonction de l'utilisateur et non de la machine sur laquelle il se connecte. 
Puisque companyabc.com recherche ce type de controle, le service informatique a choisi la 
methode GPO pour la gestion de Kiosque PSShell. Les etapes suivantes detaillent cette solution. 
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Etape 1 : creer le GPO du Kiosque PSShell securise 

Pour creer le GPO de configuration du shell de remplacement de Windows, procedez 
comme suit : 

1 . A P aide de la console de gestion des strategies de groupe (GPMC, Group Policy Manage- 
ment Console), creez un GPO nomme GPO Bureau Kiosque PSShell. 

2. Ensuite, desactivez les parametres de configuration ordinateur. 

3. Retirez les utilisateurs authentifies des parametres de Filtrage de securite. 

4. Dans la console Utilisateurs et ordinateurs Active Directory, creez un groupe de domaine 
local nomme GPO Bureau Kiosque PSShell - Appliquer et ajoutez un utilisateur de 
test au groupe. 

5. Ajoutez le groupe GPO Bureau Kiosque PSShell - Appliquer aux parametres de filtrage 
de securite du GPO Bureau Kiosque PSShell. 

6. Enfin, liez le GPO Bureau Kiosque PSShell a l'unite d'organisation (UO) de premier 
niveau qui contient tous vos comptes d'utilisateurs et verifiez que l'ordre des liaisons des 
autres GPO n'ecrase pas le GPO Bureau Kiosque PSShell. 

La liaison du GPO Bureau Kiosque PSShell a I'UO de premier niveau qui contient les comptes 
d'utilisateurs suppose qu'il n'existe aucun autre GPO lie aux UO enfants qui pourraient 
ecraser celui-ci. Par ailleurs, le GPO est applique a un groupe d'utilisateurs et non a un groupe 
de machines afin d'empecher que les utilisateurs ayant des autorisations de securite elevees 
aient un bureau non securise. 



Etape 2 : configurer le remplacement du shell de Windows 

Ensuite, configurez les parametres de remplacement du shell de Windows en procedant comme 
suit : 

1. Dans la console gestion des strategies de groupe, ouvrez le GPO Bureau Kiosque PSShell. 

2. Developpez Configuration utilisateur, Modeles d' administration et Systeme. Ensuite, 
selectionnez le parametre Interface utilisateur personnalisee. 

3. Cliquez du bouton droit sur Interface utilisateur personnalisee et choisissez Proprietes. 

4. Dans la boite de dialogue Proprietes d'Interface utilisateur personnalisee, cochez la case 
Active, saisissez cmd /c "C:\PSShell\Launch.bat" dans le champ de texte Nom du 
fichier d'interface (voir Figure 10.1) puis cliquez sur OK. 
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Figure 10.1 

Boite de dialogue 
Proprietes d'lnterface 
utilisateur personnalisee. 



r*"" Non configure 
(• Active 
f"~ Desactive 

Nom du fichei d'interface (pai exemple, Explorer.exe) 

|cmd /c T:\PSShellU.aunch.bat'' 



Pris en charge sur : Au minimum Microsoft Windows 2000 
Parametre precedent Parametre suivant 



En fixant le nom du fichier d'interface a cmd, nous obligeons Windows a utiliser cmd.exe 
comme shell de remplacement. L' option /c demande a cmd d'executer le fichier de comman- 
des C:\PSShell\Launch.bat et de s'arreter, ce qui ferme la fenetre de cmd apres la fin de 
l'execution de Launch . bat. 



En utilisant le chemin C: \PSShell, nous supposons que les fichiers de Kiosque PSShell ont ete 
copies dans ce dossier sur la machine du client. Cependant, ce choix n'est en rien fige et ils 
peuvent etre places ailleurs, par exemple sur un partage reseau Windows. 



Composant 2 : PSShell.exe 

Vous vous demandez peut-etre pourquoi nous avons utilise cmd comme shell de remplacement 
a la place de PowerShell. Lorsque nous executons un script PowerShell, il est impossible de 
le faire sans afficher la console PowerShell. Si explorer . exe est remplace par PowerShell, le 
bureau resultant contient cette console. 

Cependant, companyabc.com souhaite que les utilisateurs disposent d'un bureau analogue a 
celui de explorer.exe et non d'un bureau qui propose la console PowerShell. La solution 
implique le deuxieme composant, nomme PSShell.exe. PSShell.exe est une application 
Windows ecrite en C# qui masque la console PowerShell lors de l'execution de PSShell. psl. 




Annuler 



Appliquer 
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L'extrait suivant montre le code source de cette application : 

using System; 

using System. Diagnostics; 

namespace PSShell 
{ 

static class Program 
{ 

static void Main() 
{ 

Process Process = new Process (); 

Process. Startlnfo.FileName = "powershell.exe "; 

Process. Startlnfo. Arguments = "-Command \"C: \\PSShell\\PSShell.ps1 \" " ; 

Process. Startlnfo.CreateNoWindow = true; 

Process. Startlnfo. Window/Style = ProcessWindowStyle. Hidden; 

Process. Start ( ) ; 

} 

} 

} 



Pour masquer la console PowerShell, PSShell . exe se sert de la classe .NET System . Dia - 
gnostics . Process. En utilisant cette classe avecl' enumeration .NET ProcessWindowStyle, 
nous pouvons preciser comment la fenetre d'un processus apparait au moment de son 
demarrage. Le style (apparence) peut etre Hidden, Normal, Minimized ou Maximized. Dans 
notre exemple, nous voulons que le style de la fenetre de PowerShell soit fixe a Hidden. 
Une fois lance le processus PowerShell a l'aide de la methode Start ( ) et des arguments 
adequats, Windows n'affiche pas la console PowerShell. 

— Info 

Une fois encore, le chemin C: \PSShell dans le code source de PSShell. exe n'est qu'une sug- 
gestion. Si vous modifiez le chemin de deploiement de Kiosque PSShell, vous devez actualiser 
le code et compiler un nouvel executable. Cependant, si le langage C# vous est familier, une 
meilleure solution consiste a modifier PSShell.exe afin qu'il prenne des arguments pour 
def inir le chemin du script PSShell . psl . 



Pour bien comprendre pourquoi cmd est utilise comme shell de remplacement, n'oubliez 
pas que PSShell.exe n'est pas un shell, mais une application dont le seul objectif est 
de supprimer la console PowerShell lors de l'execution d'un script. Cet executable est 



Chapitre 10 



Utiliser PowerShell en situation reelle 271 



egalement necessaire pour lancer PowerShell et executer PSShell.psl avec la console 
masquee. Cependant, pour demarrer PSShell.exe, nous devons l'appeler depuis un autre 
shell, comme cmd. Le nom du fichier d'interface saisi dans le parametre Interface utilisateur 
personnalisee precise le fichier de commandes nomme Launch . bat. II est utilise pour lancer 
PSShell.exe. 

En resume, cmd execute Launch.bat, qui demarre PSShell.exe. A son tour, PSShell.exe 
lance PowerShell, qui execute finalement le script PSShell . psl . Tout cela est un peu compli- 
que mais indispensable pour repondre a une deficience de fonctionnalites dans PowerShell. 
Grace a cette solution, nous pouvons generer un bureau securise avec PowerShell. 

Composant 3 : PSShell.psl 

Le dernier composant de Kiosque PSShell est le script PSShell.psl. II cree le bureau du 
kiosque pour les utilisateurs connectes. Pour cela, il utilise un formulaire, grace a la compa- 
tibilite entre PowerShell et .NET Windows Forms. Le seul objectif de ce script est de donner 
aux utilisateurs l'illusion d'etre devant le bureau par defaut de Windows, alors qu'ils sont en 
realite dans un bureau personnalise aux fonctionnalites limitees. 

Kiosque PSShell determine ce qui est presente aux utilisateurs et les programmes qu'ils 
peuvent lancer depuis le bureau, companyabc.com souhaite que les utilisateurs puissent 
effectuer des taches suivantes dans un bureau securise : 

■ lancer le client Bureau a distance (RDP, Microsoft Remote Desktop), qui est configure 
pour se connecter a une ferme WTS securisee ; 

■ demarrer une version limitee (par GPO) d' Internet Explorer qui va sur le site de courrier 
Web de la societe ; 

■ se deconnecter de Kiosque PSShell lorsque leur travail est termine. 

Le premier extrait de code contient l'en-tete du script PSShell.psl. II fournit des informa- 
tions sur le role du script, sa date de derniere mise a jour et son auteur : 

################################################## 

# PSShell.psl 

# Ce script est un shell de remplacement pour explorer.exe. 
# 

# Cree le : 17/10/2006 

# Auteur : Tyson Kopczynski 

################################################## 
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Le code suivant contient deux longues instructions complexes qui font intervenir la classe 
.NET System . Reflection .Assembly : 

$Null=[ System. Reflect ion .Assembly] : : LoadWithPartialName( "System. Windows . Forms" ) 
$Null=[ System. Reflect ion. Assembly] : :LoadWithPartialName( "System. Drawing" ) 

Ces deux instructions sont indispensables car PowerShell charge uniquement quelques 
assemblages (assembly) dans son AppDomain. Par exemple, si nous essayons de creer un objet 
Windows Forms avec l'applet de commande New-Object, nous obtenons l'erreur suivante : 



PS C:\> $Form = new-object System. Windows. Forms. Form 

New-Object : Le type [System. Windows. Forms. Form] est introuvable : verifiez que 

1' assembly dans lequel il se trouve est charge. 
Au niveau de ligne : 1 Caractere : 19 
+ $Form = new-object «« System. Windows. Forms. Form 
PS C:\> 



Pour pouvoir utiliser la classe System .Windows . Forms . Form, nous devons tout d'abord char- 
ger l'assemblage dans PowerShell a l'aide de la methode LoadWithPartialName( ). Les 
assemblages des DLL de type .NET incluses avec les SDK Microsoft, celles des fournisseurs 
tiers ou nos propres DLL doivent egalement etre charges dans PowerShell. Par exemple, 
supposons que nous ayons developpe une DLL .NET pour gerer 1' application xyz. Pour utili- 
ser cette DLL dans PowerShell, nous utilisons la methode LoadFrom() ou LoadFile( ) de la 
classe System . Reflection .Assembly : 



PS C: \ > [System . Reflection .Assembly ] : : LoadFrom( "C: \Outils\maPremiere . dll" ) 
0 

PS C:\> 



— Info 

Microsoft a declare la methode LoadWithPartialName( ) obsolete. Elle est remplacee par la 
methode Load(), qui est concue pour eviter des liaisons partielles lors du chargement d'as- 
semblages .NET. L'utilisation de la methode Load() demande un travail plus important. 
Cependant, si les implications d'une liaison partielle (comme I'echec de votre script) ne vous 
preoccupent pas, vous pouvez toujours utiliser LoadWithPartialName( ) jusqu'a ce qu'elle 
soit retiree de .NET Framework. 
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A present que les assemblages necessaires aux objets Windows Forms ont ete charges, l'etape 
suivante consiste a terminer la configuration de l'environnement d'execution du script. Pour 
cela, nous definissons un ensemble de chaines de commandes qui definissent les applications 
que les utilisateurs sont autorises a lancer depuis le bureau de Kiosque PSShell. Nous revien- 
drons sur ces chaines de commandes plus loin : 

# Chaines des commandes autorisees. 

$LaunchIE = {$IE = new-object -com InternetExplorer .Application ; 

$IE . navigate( "webmail. companyabc . com" ) ; $IE. visible = $True; $IE} 
$LaunchRemoteDesktop = {mstsc /v : earth . companyabc . com If} 

Ensuite, nous creons un espace d'execution (Runspace) de PowerShell, comme le montre le 
code suivant : 

# 

# Creer un espace d'execution. 

# 

# Pour plus d ' informations sur les espaces d'execution, voir 

# http : / /msdn2 . microsoft . com /en -us /library /ms71 4459 . aspx 

$Runspace = 

[System. Management. Automation. Runspaces . RunspaceFactory ] : : 
CreateRunspace ( ) 

$RunspaceInvoke = 

new -object System .Management .Automation . Runspace I nvoke ($Runspace) 

$Runspace.Open( ) 

Ce code montre un espace d'execution PowerShell, qui est represents par l'espace de noms 
System. Management. Automation. Runspaces. Un espace d'execution est une abstraction de 
l'environnement d'execution de PowerShell qui permet a une application hote d'executer des 
commandes PowerShell. Meme si powershell.exe est une application hote qui utilise son 
propre espace d'execution pour traiter les commandes, les espaces d'execution sont d'autant 
plus interessants lorsqu'ils sont employes dans des applications en dehors de PowerShell. 

Les espaces d'execution sont indispensables a PowerShell, mais ils ont ete developpes prin- 
cipalement pour donner aux autres applications un moyen simple d'appeler l'environnement 
d'execution PowerShell et d'executer des commandes. En un sens, l'objet Windows Formcree 
par PSShell . psl est une application, et son interaction avec un espace d'execution PowerShell 
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pour effectuer des taches est done sensee. En exploitant les espaces d' execution de PowerShell, 
nous n'avons pas besoin d'ajouter une logique a l'objet Windows Form pour qu'il realise des 
taches pour le compte des utilisateurs. 

La creation d'un espace d'execution ($Runspace) pour l'objet Windows Form consiste 
simplement ainvoquer lamethode CreateRunspace ( ) de la classe PowerShell System . Manage - 
ment .Automation . Runspaces . RunspaceFactory.Ensuite,nouscreonsunobjetRunspaceInvoke 
qui permet au Windows Form d'executer des commandes par le biais de l'espace d'execution. 
Enfin, nous ouvrons cet espace a l'aide de la methode Open ( ) afin qu'il puisse etre utilise par 
l'objet Windows Form. 

Une fois l'espace d'execution defini, nous devons construire le formulaire (fenetre) lui-meme, 
comme le montre l'extrait de code suivant. La section "Definir les images" cree un 
ensemble d'objets Drawing . Image. lis seront utilises par la suite dans le formulaire pour 
representer des elements comme le menu Demarrer du Kiosque PSShell et les icones 
des applications. Ensuite, a la section "Creer la fenetre", l'objet formulaire est cree avec 
un ensemble de proprietes predefinies qui le font ressembler au bureau par defaut de 
Windows. 

# 

# Definir les images. 

# 

$ImagePath = Split -Path -Parent $MyInvocation . MyCommand . Path 
$ImgStart = [Drawing . Image] : : FromFile ( "$Imagepath\ Images \ St art . png" ) 
$ImgRDP = [Drawing . Image] : : FromFile ( "$Imagepath\ Images \RDP . png " ) 
$ImgIE = [Drawing . Image] : : FromFile ( " $Imagepath\ Images \ IE . png" ) 

# 

# Creer la fenetre. 

# 

$Form = new-object System. Windows. Forms. Form 

SForm.Size = new-object System . Drawing . Size 8(1,1) 

$Form.DesktopLocation = new-object System. Drawing. Point 8(0,0) 

SForm.WindowState = "Maximized" 

$Form.StartPosition = "CenterScreen" 

SForm.ControlBox = $False 

$Form. FormBorderStyle = "FixedSingle" 

SForm.BackColor = "#647258" 
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La fenetre est creee, mais avant de l'activer et de l'afficher a l'utilisateur, nous devons ajouter 
les elements du menu. Le code suivant ajoute plusieurs Menultems au ToolStripMenu qui 
joue le role du menu Demarrer pour le bureau de Kiosque PSShell : 

# 

# Construire le menu. 

# 

$MenuStrip = new-object System .Windows . Forms . MenuSt rip 
$MenuStrip . Dock = "Bottom" 
$MenuStrip.BackColor = "#292929" 

# Menu Demarrer. 

$StartMenuItem = new-object System .Windows . Forms .ToolStripMenuItem ("" ) 
$StartMenuItem. Padding = 0 
$StartMenuItem . Image = SImgStart 
$StartMenuItem . ImageScaling = "None" 

# Element de menu 1 . 

$MenuItem1 = new-object System. Windows. Forms. ToolStripMenuItem( "&Webmail" ) 
$MenuItem1 . Image = $ImgIE 
$MenuItem1 . ImageScaling = "None" 

$MenuItem1 . add_Click( {SRunspace Invoke . Invoke ($LaunchIE) } ) 
SStartMenuItem . DropDownltems . Add ($MenuItem1 ) 

# Element de menu 2 

$MenuItem2 = new-object System .Windows . Forms .ToolStripMenuItem( ' 

"&Bureau a distance" ) 
$MenuItem2. Image = $ImgRDP 
$MenuItem2 . ImageScaling = "None" 

$MenuItem2 . add_Click( {SRunspace Invoke . invoke (SLaunchRemoteDesktop) } ) 
SStartMenuItem . DropDownltems .Add ($Menu It em2) 

# Element de menu 3. 

$MenuItem3 = new-object System .Windows . Forms .ToolStripMenuItem( ' 
"&Fermer la session") 

$MenuItem3 . add_Click ( { ' 

$RunspaceInvoke . invoke ( {Get -WmiObj ect Win32_0peratingSystem I 

f oreach -ob j ect {$_.Win32Shutdown (0) }} ) } ) 

SStartMenuItem . DropDownltems .Add ($Menu It em3) 
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Les elements de menu ajoutes par le code precedent permettent aux utilisateurs de lancer des 
applications ou de fermer le bureau de Kiosque PSShell. A chaque element est affecte un 
gestionnaire d'evenements de clic qui utilise l'objet $Runspacelnvoke et samethode invoke ( ) 
pour executer la commande PowerShell indiquee. La liste suivante decrit Taction realisee 
par chaque element de menu : 

■ $Menulteml . Utilise la commande indiquee dans la variable $LaunchlE pour lancer Internet 
Explorer. 

$Menultem2. Utilise la commande indiquee dans la variable $LaunchRemoteDesktop pour 
demarrer mstsc . exe (le client du bureau a distance de Microsoft). 

U $Menultem3. Utilise l'applet de commande Get-WmiObject pour fermer la session 
Windows. 

Enfin, le script doit activer la fenetre et 1'afficher a l'utilisateur. Pour cela, nous utilisons la 
methode ShowDialog() : 

# 

# Afficher la fenetre. 

# 

$MenuSt rip. Items .Add ($StartMenuItem) 
$Form. Controls .Add ($MenuSt rip) 
$Form.Add_Shown({$Form.Activate( ) }) 
$Form . ShowDialog ( ) 

Tout reunir 

Une fois le GPO Bureau Kiosque PSShell configure et pret a etre applique aux utilisateurs, 
l'etape suivante consiste a deployer les fichiers de Kiosque PSShell sur les systemes servant 
de clients legers securises : 

■ Launch . bat. Le fichier de commandes qui permet de lancer PSShell . exe. 

■ PSShell.exe. L'application C# qui sert a executer le script PSShell. ps1. 

■ PSShell . psl . Le script PowerShell qui cree le Kiosque PSShell. 

■ Dossier Images. Le dossier qui contient les images utilisees par le bureau de Kiosque 
PSShell. 

Comme nous l'avons indique precedemment, Kiosque PSShell est configure pour le chemin 
C:\PSShell. Par consequent, apres avoir deploye ces fichiers dans ce dossier sur chaque 
machine, vous pouvez placer les utilisateurs qui ont besoin d'un Bureau securise dans le 
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groupe GPO Bureau Kiosque PSShell - Appliquer. La Figure 10.2 montre le Bureau de 
Kiosque PSShell avec trois elements de menu. 




Figure 10.2 

Le Bureau de Kiosque PSShell. 



Le script ChangeLocalAdminPassword.psI 

Le script ChangeLocalAdminPassword . psl a ete developpe pour s'occuper d'une tache deman- 
dant beaucoup de temps aux administrate urs systeme. II s'agit de la modification du mot de 
passe de l'administrateur local, que ce soit de maniere routiniere (administration planifiee) 
ou forcee (suite a une attaque du reseau). Cette modification fait partie des toutes premieres 
activites de gestion des systemes, et les administrateurs la negligent frequemment car elle est 
fastidieuse. 

companyabc.com dispose d'une ferme de cinq cents serveurs sous Windows Server 2003. 
Conformement aux pratiques securitaires de cette entreprise, le service informatique a essaye 
de modifier regulierement le mot de passe de 1' administrateur local sur les cinq cents serveurs, 
en general une fois par mois ou lorsqu'un administrateur systeme quittait la societe. A cause 
du temps et des efforts demandes par ces changements, le service informatique a eu tendance 
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a ne pas respecter les dates prevues. II a fini par ne plus modifier le mot de passe de l'admi- 
nistrateur local, ce qui a rapidement conduit a un incident de securite serieux : une entite 
externe a exploite cette defaillance dans le respect des bonnes pratiques de gestion des mots 
de passe pour prendre le controle de quelques serveurs de companyabc.com et demander une 
rancon pour rendre l'acces a ces systemes. 

Suite a cet incident, le service informatique a recherche une maniere de modifier rapidement 
et en masse le mot de passe de l'administrateur local. II a ete decide d' employer un script 
d'automation qui cree une liste des serveurs dans une UO determinee et qui se connecte a 
chaque serveur pour modifier le mot de passe de l'administrateur local. Le script 
ChangeLocalAdminPassword . ps1 est le fruit de ce travail. 

Vous trouverez une copie de ce script dans le dossier Scripts \Chapit re 1 0\ChangeLocalAdminPassword 
et en telechargement sur le site www.pearsoneducation.fr. Pour l'executer, il faut definir le 
parametre OUDN. Son argument doit etre le distinguishedName de l'UO qui contient les 
serveurs dont le mot de passe de l'administrateur local doit etre modifie. Voici la commande 
qui permet d'executer le script ChangeLocalAdminPassword . ps1 : 



PS D:\Scripts> . \ChangeLocalAdminPassword . ps1 "OU=Servers,OU=Managed Objects 
, DC=companyabc , DC=com" 



Les Figures 10.3 et 10.4 illustrent l'execution de ChangeLocalAdminPassword . psl . 
Voici la suite des operations realisees par le script ChangeLocalAdminPassword . ps1 : 

1. II charge le fichier de bibliotheque LibraryCrypto . psl , qui propose une fonction permet- 
tant de generer des mots de passe aleatoires. 

2. II cree un nouvel objet DataTable ($ServersTable) a l'aide de la classe .NET System. 
Data . DataSet. Cet objet sera utilise pour enregistrer des informations d'etat a propos des 
machines de l'UO precisee. 

3. II cree un journal d'erreurs nomme ChangeLocalAdminPassword_Errors.log en utilisant 
P applet de commande Out -File. Ce journal permet de presenter aux utilisateurs des 
informations detaillees concernant les erreurs. 

4. II se connecte au domaine d'ouverture de session actuel en invoquant la fonction Get - 
CurrentDomain. A partir de l'objet retourne par cette fonction, il affiche le nom du 
domaine sur la console PowerShell. Si la connexion echoue, le script se termine. 

5. Ensuite, le script verifie que l'UO indiquee existe dans le domaine courant en appelant la 
fonction Get -ADOb j ect. Si l'UO n'est pas valide, il se termine. 
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T C:\WINDO 



PS C:\Scripts> .\ChangeLocalAdninPassword.psl "OU =Seruers „OU=Managed Object s,DC=| 
compan yabc r DC=com " 



certains nachines . 

Utilisateur : tyson 
tt Date : Tue Oct 30 13:43:16 2007 

ttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttitit 

edification de la connexion au donaine taosage . internal 
edification du non de l'UO [OK] 



Question : 

Dois-je generer un not de passe aleatoire ? 

CO] Oui [N] Non [?] Aide <la ualeur par defaut est « 0 »> : N 

Ueuillez saisir le not de passe: xxxxxxmmm 

btention des infornations sur les serveurs [OK] 
btention des infornations d'etat [OK] 
Modification des nots de passe. 




Figure 10.4 

Terminaison du script ChangeLocalAdminPassword.psI . 



280 Partie 3 



Utiliser PowerShell pour les besoins d'automation 



6. II utilise ensuite les fonctions Set-ChoiceMesssage et New-PromptYesNo pour demander a 
l'utilisateur s'il souhaite un mot de passe genere aleatoirement ou le preciser. Pour les 
mots de passe aleatoires, le script appelle la fonction New-RandomPassword de la biblio- 
theque LibraryCrypto. psl, en precisant la longueur du mot de passe. II est stocke sous 
forme de chaine securisee ($Password) et retourne a l'utilisateur pour qu'il le verifie. 
Pour les mots de passe indiques par l'utilisateur, le script emploie 1' applet de commande 
Read -Host avec le parametre AsSecureString afin d'obtenir le mot de passe et de l'enre- 
gistrer dans une chaine securisee ($Password). 

7. Ensuite, le script utilise la classe .NET DirectoryServices . DirectoryEntry pour etablir 
une liaison avec l'UO indiquee dans Active Directory, puis la classe .NET Directory - 
Services. DirectorySearcher pour creer un objet $Searcher. La propriete SearchRoot 
de cet objet est liee a l'objet d'UO lie. Une recherche LDAP est lancee afin de placer 
dans la variable $Computers tous les serveurs presents dans l'UO. 

8. La classe System. Net. Networklnf ormation . Ping permet ensuite au script de contacter 
chaque serveur indique dans la collection $Servers. Si un serveur repond, une nouvelle 
ligne est alors ajoutee dans l'objet DataTable ($ServersTable). Elle est constituee du 
nom du serveur et de l'etat "En ligne". Si un serveur ne repond pas, une nouvelle ligne 
est egalement ajoutee dans cet objet DataTable, mais son etat est fixe a "Hors ligne". 

9. Le script utilise a nouveau la classe System . Net . Networklnf ormation . Ping pour contacter 
chaque serveur indique dans la collection $Computers. Siun serveur repond, une nouvelle 
ligne est alors ajoutee dans l'objet DataTable ($ServersTable). Elle est constituee du 
nom du serveur et de l'etat "En ligne". Si un serveur ne repond pas, une nouvelle ligne 
est egalement ajoutee dans cet objet DataTable, mais son etat est fixe a "Hors ligne". 

10. La liste des serveurs et de leur etat est enregistree dans le journal des erreurs du script 
afin de pouvoir y faire ensuite reference a l'aide de l'applet de commande Out - File. 

11. Ensuite, le script utilise la classe .NET Sy stem. Runtime. I nteropServices. Marshal pour 
convertir la chaine securisee contenue dans la variable $Password en une chaine normale 
qui sera utilisee plus loin dans le script. 

12. Enfin, pour chaque serveur "En ligne" present dans SServersTable, l'applet de commande 
Get-WmiObject est utilisee pour se connecter et obtenir une liste des comptes d'utilisa- 
teurs. Le compte de l'administrateur local possede un identifiant de securite (SID, 
Security ID) qui se termine par "-500". Le script se lie a ce compte a l'aide du fournisseur 
ADSI WinNT et modifie son mot de passe en utilisant la chaine qui se trouve a present 
dans la variable $Password. 
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Voici le fichier de bibliotheque LibraryCrypto. psl : 

################################################## 

# LibraryCrypto. ps1 

# Les fonctions de ce fichier realisent des operations de chif f rement . 
# 

# Cree le : 3/11/2006 

# Auteur : Tyson Kopczynski 

################################################## 
# 

# New-RandomPassword 
# 

# Usage : Generer un mot de passe aleatoire. 

# $Size : Longueur du mot de passe a generer. 

function New-RandomPassword{ 
param ([int] $Size) 

$Bytes = new-object System. Byte[ ] $Size 

$Chars = "abcdefghijklmnopqrstuvwxyz" .ToCharArrayO 

$Chars += "ABCDEFGHIJKLMNOPQRSTUVWXYZ" .ToCharArray( ) 

$Chars += "01 23456789" ' -!&#$"*() -_=+[]{}' \l; : , . / " . ToCharArray ( ) 

$Crypto = 

new-ob j ect System . Security .Cryptography . RNGCryptoServiceProvider 

# Remplir un tableau d' octets avec une sequence de valeurs aleatoires 

# differentes de zero et presentant une qualite cryptographique elevee. 

$Crypto.GetNonZeroBytes($Bytes) 

foreach ($Byte in $Bytes){ 

# Pour chaque octet, appliquer un modulo. 
SPassword += $Chars[$Byte % (SChars . Length - 1)] 
} 

# Retourner le mot de passe aleatoire sous forme de SecureString . 

ConvertTo-SecureString "SPassword" -AsPlainText -Force 

} 
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Comme nous l'avons mentionne precedemment, ChangeLocalAdminPassword . psl utilise 
la fonction New-RandomPassword du fichier LibraryCrypto . ps1 pour generer des mots de 
passe aleatoires de la taille indiquee, a partir de l'ensemble des caracteres autorises. La 
fonction s'appuie sur la classe .NET System . Security .Cryptography . RNGCryptoServicePro - 
vider pour generer des nombres aleatoires ayant une qualite cryptographique elevee. 

Un generateur de nombres aleatoires ameliore la robustesse des mots de passe, meme 
ceux constitues de caracteres et de nombres. La fonction New-RandomPassword utilise le 
generateur afin d'obtenir des caracteres aleatoires. Elle prend tout d'abord la longueur 
indiquee et cree un tableau de System . Byte ($Bytes) de la meme taille. Elle definit ensuite 
un tableau de caracteres ($Chars) constitue de tous les caracteres acceptes dans les mots 
de passe. 

Puis, New-RandomPassword cree un generateur de nombres aleatoires (SCrypto) a l'aide de 
la classe System. Security. Cryptography. RNGCryptoServiceProvider. La methode GetNon- 
ZeroBytes ( ) utilise ensuite SCrypto pour remplir le tableau $Bytes avec une suite de valeurs 
aleatoires differentes de zero, presentant une qualite cryptographique elevee. Pour chaque 
octet du tableau $Bytes, la fonction applique un modulo (le reste de la division d'un nombre 
par un autre) afin de determiner le caractere du tableau SChars qui doit etre ajoute dans la 
variable SPassword. Le resultat final est un mot de passe aleatoire retourne a l'appelant sous 
forme d'une chaine securisee. 

Lextrait de code suivant contient l'en-tete du script ChangeLocalAdminPassword . ps1 . II four- 
nit des informations sur le role du script, sa date de derniere mise a jour et son auteur. Juste 
apres l'en-tete, nous trouvons le parametre OUDN du script : 

################################################## 

# ChangeLocalAdminPassword . ps1 

# Ce script modifie le mot de passe de 1 1 administrateur local 

# sur les comptes d ' ordinateurs dans. 
# 

# Cree le : 11/2/2006 

# Auteur : Tyson Kopczynski 

################################################## 
param( [string] $0UDN) 
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Le script definit ensuite les fonctions Set-ChoiceMessage et New-PromptYesNo : 

################################################## 

# Fonctions. 

################################################## 
# 

# Set-ChoiceMessage 
# 

# Usage : Proposer les options de choix Oui et Non. 

# $No : Le message Non. 

# $Yes : Le message Oui. 

function Set -ChoiceMessage{ 
param ($No, $Yes) 

$N = ( [System . Management .Automation . Host . ChoiceDescription] "&Non" ) 
$N.HelpMessage = $No 

$Y = ([ System. Management .Automat ion. Host .ChoiceDescription] "&0ui" ) 
$Y.HelpMessage = $Yes 

Return ($Y,$N) 



function New-PromptYesNo{ 

param ($Caption, SMessage, 

[System . Management .Automation . Host . ChoiceDescription [ ] ] $Choices ) 



} 



# 



# New-PromptYesNo 

# 



# Usage : 

# $Caption 

# $Message 

# $Choices 



Afficher une invite de choix. 
Intitule de 1' invite. 
Message d 1 invite. 
Categorie de l'objet. 



$Host.UI.PromptForChoice($Caption, SMessage, $Choices, 0) 
} 
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PowerShell demande parfois d'effectuer un choix avant de poursuivre une commande. Par 
exemple, comme nous l'avons vu au Chapitre 4, "Signer du code", il peut demander une confir- 
mation avant d'executer un script qui n'est pas signe par une entite approuvee, en fonction de 
la strategie d' execution en cours. II peut egalement attendre une confirmation avant d'executer 
une commande lorsqu'une applet de commande est utilisee avec l'option confirm : 



r 

PS C:\> get-process | stop-process -confirm 


^ 


Confirmer 




Etes-vous sur de vouloir effectuer cette action ? 




Operation « Stop-Process » en cours sur la cible 


« alg (2116) ». 


[0] Oui [T] Oui pour tout [N] Non [U] Non pour 


tout [S] Suspendre 


[?] Aide(la valeur par defaut est « 0 ») : 





Grace aux fonctions Set-ChoiceMessage et New-PromptYesNo, nous pouvons construire un 
menu d' options Oui ou Non et le presenter aux utilisateurs sur la console PowerShell. La 
fonction Set-ChoiceMessage cree un ensemble d'objets de choix et est utilisee avec la fonc- 
tion New-PromptYesNo pour generer le menu. Pour cela, New-PromptYesNo invoque la methode 
Prompt ForChoice ( ) de l'objet $host . Ul, qui n'est qu'une implementation de la classe System . 
Management .Automation . Host . PSHost User Interface. 

Dans l'extrait de code suivant, nous definissons les variables qui seront employees par la 
suite dans le script. Par ailleurs, deux fichiers de bibliotheque sont charges dans la portee du 
script. Le premier, LibraryGen.psl, est une bibliotheque generale qui contient les fonctions 
d' utilisation du script et les fonctions Active Directory developpees au Chapitre 9, 
"PowerShell et Active Directory". Le second est la bibliotheque LibraryCrypto . psl mention- 
nee precedemment. Elle fournit la fonction New-RandomPassword : 
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$ScriptName = "ChangeLocalAdminPassword . ps1 " 

$ScriptUsage = "Ce script modifie le mot de passe de 1 ' administrateur" 
local sur certaines machines." 

$ScriptCommand = "$ScriptName -OUDN valeur" 

$ScriptParams = "OUDN = Le distinguishedName de l'UO ou se trouvent" 

+ " les machines . " 
$ScriptExamples = "$ScriptName " "OU=Accounts , DC=companyabc , DC=com 
$ErrorLogName = $ScriptName + "_Errors.log" 
$Date = Date 



L'etape suivant la definition des variables du script et le chargement des bibliotheques 
consiste a verifier si l'utilisateur a besoin d'une aide et si le parametre OUDN obligatoire a ete 
defini : 

# 

# Verifier les parametres obligatoires . 

# 

if ($args[0] -match ' - ( \ ?l ( hi ( help ) ))')-[ 
write -host 

Get -ScriptHeader $ScriptName $ScriptUsage 

Show-ScriptUsage $ScriptCommand $ScriptParams $ScriptExamples 

Return 

} 

if (!$0UDN){ 
write-host 

write-host "Veuillez preciser dans quelle UO se trouvent les machines !" 

-Foregroundcolor Red 
write-host 

Get -ScriptHeader $ScriptName $ScriptUsage 

Show-ScriptUsage $ScriptCommand SScriptParams $ScriptExamples 

Return 

} 
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Ensuite, le script cree un objet DataTable. II s'agit d'un concept nouveau qui s'appuie sur un 
objet .NET DataTable (il provient de la classe System. Data. DataTable, qui fait partie de 
1' architecture ADO.NET) : 

# 

# Definir le DataTable. 

# 

$ServersTable = new-object System. Data. DataTable 
$ServersTable .TableName = "Servers" 
[Void]$ServersTable. Columns. Add( "Name" ) 
[ Void] SServersTable. Columns .Add ( "Status" ) 

Les objets DataTable sont equivalents aux tables d'une base de donnees, excepte qu'ils se 
trouvent en memoire. Les scripts peuvent se servir de ces tables pour conserver les donnees 
obtenues depuis d'autres sources ou celles definies manuellement. 

Dans ce script, un DataTable est utilise pour enregistrer les informations d'etat des serveurs 
recuperes dans Active Directory. Le script commence par creer un objet DataTable nomme 
SServersTable en utilisant l'applet de commande New-Object et la classe System. Data. 
DataTable. Lorsqu'il est cree, le DataTable est vide et ne possede aucune structure. Nous 
devons done la definir avant de pouvoir y placer des donnees. Pour la structure de 
SServersTable, le script invoque la methode Add ( ) arm d'ajouter les colonnes Name et Status 
a sa collection Columns. Plus loin, cette meme methode Add ( ) sera utilisee pour ajouter des 
lignes de donnees a la collection Rows de $ServersTable. 

Dans l'extrait de code suivant, l'applet de commande Out - File cree un journal des erreurs et 
y ecrit des informations d'en-tete. Ensuite, la fonction Get -ScriptHeader est utilisee pour 
signaler a l'operateur du script que la partie automation a demarre : 

# 

# Debut du script. 

# 

# Commencer le journal des erreurs. 

$ScriptName + " Execute le : " + $Date I out -file $ErrorLogName 
write-host 

Get -ScriptHeader SScriptName $ScriptUsage 
write-host 
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Le script doit a present verifier si la connexion au domaine est valide. Pour cela, il se sert 
de la fonction Get -CurrentDomain. Si aucune connexion valide n'existe, le script se termine 
et retourne son code d'etat. Dans le cas contraire, il poursuit son execution et affiche le 
nom de domaine sur la console. Ensuite, il appelle la fonction Get -ADObj ect pour verifier 
si la chaine contenue dans la variable $0UDN est un nom distinctif valide. Si la fonction 
retourne un objet, la variable est alors valide. Sinon, elle est consideree comme invalide et 
le script se termine : 

■{ 

trap{write-host 't "[ERREUR]" -Foregroundcolor Red; 
throw write-host $_ -Foregroundcolor Red; 
Break} 

write-host "Verification de la connexion au domaine" -NoNewLine 

# Tester la connexion au domaine. 
$Domain = Get -CurrentDomain 

# Afficher le nom du domaine. 

write-host 't $Domain . Name -Foregroundcolor Green 

} 

write-host "Verification du nom de l'UO" -NoNewLine 

if (! (Get -ADObj ect "distinguishedName" $0UDN "organizationalUnit " ) ) { 
write-host 't "Invalide !" -Foregroundcolor Red 
write-host 
Break 
} 

else{ 

write-host 't "[OK]" -Foregroundcolor Green 
} 

Le code suivant correspond a la procedure de definition du mot de passe utilise. Tout 
d'abord, le script demande a l'utilisateur si un mot de passe doit etre genere ou s'il va le 
preciser. Dans le premier cas, nous demandons la saisie de la taille du mot de passe. Ensuite, 
un mot de passe de la longueur indiquee est genere par la fonction New-RandomPassword. 
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Si l'utilisateur a choisi d'indiquer le mot de passe, le script invoque l'applet de commande 
Read-Host avec l'option AsSecureString : 

# 

# Obtenir le mot de passe. 

# 

$Choices = Set-ChoiceMessage "Oui" " Non" 
$Prompt = New-PromptYesNo "Question :" 

"Dois-je generer un mot de passe aleatoire ?" $Choices 

while ( ! $Password ) { 

trap{write-host "Veuillez saisir un nombre entier !" 
-Foregroundcolor Red; Continue} 

if ($Prompt -eq 0){ 
write-host 

[int]$Length = read-host "Veuillez indiquer la longueur du mot de passe" 

if ($Length -gt 0){ 
&{ 

$Temp = New-RandomPassword $Length 
write-host 

write-host "Voici le nouveau mot de passe aleatoire :" 
-Foregroundcolor White 

[System. Runtime. InteropServices. Marshal] : : PtrToStringAuto( 
[System. Runtime. InteropServices. Marshal] : :SecureStringToBSTR( 
$Temp) ) 

SPrompt = New-PromptYesNo "Question :" 
"Est-il correct ?" $Choices 

if (SPrompt -eq 0){ 

SScript : Password = $Temp 
} 

} 
} 

else{ 

write-host "La longueur du mot de passe doit etre superieure a 0 !" 
-Foregroundcolor Red 
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write-host 

$Password = read -host "Veuillez saisir le mot de passe" -AsSecureString 

} 



Le script dispose done du nouveau mot de passe. II doit a present obtenir la liste des machi- 
nes dont le mot de passe est a modifier. Le code suivant se charge de cette tache. Grace a la 
classe DirectoryServices.DirectorySearcher, il recherche les objets d'ordinateurs (les 
serveurs) qui se trouvent dans l'UO. Ensuite, il contacte chacun d'eux et ajoute une ligne a 
l'objet DataTable $ServersTable, constitute du dNSHostName du serveur et de son etat : 



# Obtenir les ordinateurs et leur etat. 

# 

write - host 

write-host "Obtention des informations sur les serveurs" 



-NoNewLine 



&{ 



trap{write-host 't "[ERREUR]" -Foregroundcolor Red; 
throw write-host $_ -Foregroundcolor Red; 
Break} 

$Root = 

new-object DirectoryServices.DirectoryEntry " LDAP : / /$OUDN " 



$Searcher = new-object DirectoryServices . DirectorySearcher 
$Searcher.SearchRoot = $Root 
$Searcher. PageSize = 1000 



$SearchItem = "CN" 

$SearchValue = "*" 

$SearchClass = "Computer" 

$SearchCat = "*" 

$Searcher. Filter = 

" (&($($SearchItem)=$($SearchValue) ) (objectClass=$( ' 
$SearchClass) ) (objectCategory=$($SearchCat) ) ) " 

$Script:Computers = $Searcher.FindAll( ) 
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} 

write-host 't "[OK]" -Foregroundcolor Green 

write-host "Obtention des informations d'etat" -NoNewLine 

$Computers I f oreach -obj ect -Begin {$i=0;} 

-Process {$Ping = new-object Net . Networklnf ormation . Ping ; 

&{$dNSHostName = $_.GetDirectoryEntry ( ) .dNSHostName.ToString( ) ; 
trap{ " [ERREUR] de ping : " + SdNSHostName + " $_" I out-file 1 

$ErrorLogName -Append; Continue}; 
$Result = $Ping.Send($dNSHostName) ; 
if ($Result .Status -eq "Success" ){ 

[Void]$ServersTable.Rows.Add($dNSHostName, "En ligne")} ' 
else{ [Void] SServersTable . Rows .Add (SdNSHostName , "Hors ligne" )}; 
$i = $i+1 ; 

write-progress -Activity "Contact des serveurs - $($dNSHostName) " 
-Status "Progression :" 

-PercentComplete ($i / SComputers. Count * 100)}} 

write-host "t "[OK]" -Foregroundcolor Green 

# Ecrire les informations d'etat dans le journal des erreurs. 
$ServersTable I out -file $ErrorLogName -Append 



L'etape suivante modifie les mots de passe sur tous les serveurs en ligne. Tout d'abord, le 
script convertit en chaine normale la chaine securisee donnee par la variable $Password. 
Ensuite, a 1' aide de la methode Select ( ) deDataTable,il place dans la variable SOnlineServers 
tous les objets d'ordinateurs qui correspondent a des serveurs en ligne. Puis, il utilise WMI 
pour se connecter a chacun d'eux, determiner le compte Administrateur et lui affecter le mot 
de passe contenu dans la variable $Password : 

write-host "Modification des mots de passe" -NoNewLine 

$Password = [System . Runtime . InteropServices . Marshal] :: PtrToStringAuto( 
[System. Runtime. InteropServices. Marshal] : : SecureStringToBSTR ( 
SPassword) ) 

$OnlineServers = $ServersTable . Select ( "Status = 'En ligne'") 

foreach (SServer in SOnlineServers ) { 
&{ 



Chapitre 10 



Utiliser PowerShell en situation reelle 291 



write -progress -Activity "Obtention des utilisateurs - $($Server.Name) " 
-Status "Veuillez patienter . . . " 

$Users = get -wmiobj ect -ErrorVariable Err -ErrorAction 

SilentlyContinue Win32_UserAccount -Computer $Server.Name 

write -progress -Activity "Obtention des utilisateurs - $($Server.Name) " 
-Status "Termine" -completed $True 

if ($Err. Count -ne 0){ 

" [ ERREUR] d' obtention des utilisateurs : " + $Server.Name + " " + 
$Err I out -file ' 

$ErrorLogName -Append 

} 

else{ 

foreach ($User in $Users){ 

if ($User.SID.EndsWith("-500") -eq $True){ 
write-progress -Activity 

"Modification du mot de passe - '$($User.Name) " 
-Status "Veuillez patienter..." 

trap{ "[ ERREUR] de modification du mot de passe : " + 
$Server.Name + " " + $_ I out -file ' 
$ErrorLogName -Append; Continue} 

SWinNTUser = 

new-object System. DirectoryServices.DirectoryEntry( 
"WinNT://" + SServer.Name + "/" + SUser.Name) 

SWinNTUser .Set Password (SPassword) 
$Null = SWinNTUser.Setlnfo 

write-progress -Activity 

"Modification du mot de passe - $($User.Name) " 
-Status "Termine" -completed $True 

} 



} 
} 

write-host "t "[OK]" -Foregroundcolor Green 
write-host 

write-host "Le script est termine !" -Foregroundcolor Green 

write-host "Consultez le fichier SErrorLogName en cas d'erreurs.' 
-Foregroundcolor Yellow 
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En resume 

Au cours de ce chapitre, nous avons etudie deux scripts PowerShell qui ont ete developpes 
pour repondre a des besoins d'automation tres forts. Dans le premier, nous avons decouvert 
que PowerShell etait capable de sortir de son role d'outil d'automation et de repondre a un 
besoin securitaire critique en remplacant le shell de Windows. Dans le second, nous avons vu 
qu'il pouvait etre un outil d'automation performant. Les deux scripts n'ont cependant fait 
qu'effleurer la surface des procedures d'automation possibles avec PowerShell. 

Comme nous 1' avons deja repete maintes fois dans cet ouvrage, les possibilites de PowerShell 
sont sans limites. Ce chapitre constitue seulement un pas dans 1' exploration de PowerShell 
et de ses capacites. 



11 



Administrer Exchange 
avec PowerShell 

Dans ce chapitre 

■ Introduction 

■ Exchange Management Shell (EMS) 

■ Le script GetDatabaseSizeReport.ps 1 

■ Le script GetEventl221Info.psl 

■ Le script ProvisionExchangeUsers.ps 1 

Introduction 

Ce chapitre explique comment utiliser PowerShell pour administrer un environnement 
Exchange Server 2007. Ce logiciel se sert de PowerShell pour realiser des taches d' automa- 
tion et de gestion au travers d'EMS (Exchange Management Shell). Par ailleurs, nous presen- 
ters le concept de composant logiciel enfichable PowerShell, ce qu'est en realite EMS. Enfin, 
nous etudions trois scripts PowerShell qui prennent en charge la gestion d'un environnement 
Exchange Server 2007 et nous precisons comment les utiliser pour repondre aux besoins 
d' automation. 
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Exchange Management Shell (EMS) 

Depuis plusieurs annees, les administrateurs d'Exchange n'ont eu que deux possibilites pour 
realiser des taches repetitives : les effectuer a la main au travers de l'interface graphique ou 
ecrire des scripts dans des langages de programmation complexes. Bien que ces langages de 
programmation permettent d'effectuer de nombreuses taches routinieres dans un environne- 
ment Exchange, ils n'ont pas ete concus explicitement pour cela. Par consequent, meme la 
tache la plus simple peut demander des centaines de lignes de code. 

Avec le temps, l'impossibilite d'automatiser des taches s'est largement revelee comme 
1' aspect le plus frustrant de 1' administration d'un environnement Exchange. En realite, 
comme le souligne cet ouvrage, 1' automation Windows en general n'est pas suffisante car 
Microsoft s'est principalement appuye sur des interfaces graphiques et tres peu sur des inter- 
faces en ligne de commande. Cette frustration est devenue l'une des motivations de l'equipe 
PowerShell, conduite par Jeffrey Snover, pour developper une interface CLI du shell qui 
permette aux administrateurs de tout realiser depuis la ligne de commande. 

A peu pres au meme moment, l'equipe chargee du developpement d'Exchange etait en pleine 
ecriture des specifications de la version suivante (E12, qui est devenu Exchange Server 
2007). Initialement, elle semblait opter pour une autre interface graphique MMC (Microsoft 
Management Console) limitee pour la gestion d'Exchange. Mais elle a decide de prendre une 
voie differente en s'orientant vers une administration fondee sur PowerShell. 

En consequence, dans Exchange Server 2007, la configuration et 1' administration se font 
avec deux nouveaux outils : EMS et EMC (Exchange Management Console). Pour acceder 
aux informations et aux parametres de configuration d'un environnement Exchange Server 
2007 et pour les modifier, ils s'appuient tous deux sur PowerShell. 



Exchange Server 2007 est le premier logiciel Microsoft qui utilise exclusivement PowerShell 
pour mettre en ceuvre ses interfaces de gestion. 



EMS est une interface de gestion en ligne de commande concue pour 1' administration et la 
configuration d'un serveur. Puisqu'elle repose sur une plate-forme PowerShell, elle peut se 
connecter a 1' environnement d'execution .NET (egalement appele CLR, pour Common 
Language Runtime). Les taches qui devaient autrefois etre realisees manuellement dans 
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l'application d' administration peuvent desormais faire l'objet de scripts, ce qui apporte 
aux administrateurs une plus grande souplesse dans les activites repetitives. D'autre part, 
les administrateurs peuvent gerer tous les aspects d'Exchange Server 2007, y compris la 
creation et la maintenance des comptes de courrier electronique, la configuration des 
connecteurs et des agents de transport SMTP (Simple Mail Transport Protocol), ainsi que 
la definition des proprietes pour les enregistrements dans des bases de donnees. Toutes les 
taches d' administration d'un environnement Exchange peuvent a present etre accomplies 
depuis la ligne de commande. De plus, EMS peut etre utilise pour controler des parame- 
tres, creer des rapports, fournir des informations sur la sante des serveurs Exchange et 
surtout automatiser des taches frequentes. 

EMC est un outil graphique MMC 3.0 pour la visualisation et la modification de la configu- 
ration d'un deploiement Exchange Server 2007. Alors que l'interface d'EMC etait analogue 
a celle d'ESM (Exchange System Manager) dans les versions precedentes d'Exchange, elle 
a ete revue. Elle est desormais mieux organisee et plus facile a apprehender. Puisque EMC 
est limite aux modifications que les administrateurs peuvent effectuer, certains parametres de 
configuration ne sont disponibles qu'au travers d'EMS. 

EMS et EMC s'appuient sur PowerShell pour realiser les taches d' administration. EMC n'est 
qu'une interface graphique qui invoque EMS pour effectuer les taches. EMS n'est qu'un 
composant logiciel enfichable pour PowerShell. Par consequent, peu importe l'outil employe 
par les administrateurs pour creer un rapport ou modifier un parametre, ils utilisent en realite 
PowerShell. 

Un simple composant logiciel enfichable 

Un composant logiciel enfichable (snap-in) n'est rien d'autre qu'une collection d'une ou 
de plusieurs applets de commande compilees dans une DLL et utilisees pour etendre les 
fonctionnalites de PowerShell. En general, cette extension des fonctionnalites a pour 
objectif la gestion d'une application au travers de PowerShell et peut se faire aisement en 
utilisant des composants logiciels enfichables, tout comme ils permettent d'etendre les 
possibilites de la MMC. 

Un composant logiciel enfichable PowerShell doit etre charge dans la session PowerShell en 
cours avant de pouvoir etre utilise. Par exemple, supposons que nous venions de terminer un 
composant PowerShell en C#. II a ete compile dans la bibliotheque MonPremierSnapin . dll et 
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nous voulons l'utiliser dans PowerShell. Avant route chose, nous devons l'enregistrer dans 
1' installation de PowerShell a l'aide de l'outil .NET Framework Installer (installutil . exe) : 



r 

PS C:\Dev> set-alias IntUtil $Env :windir\f 


ilicrosof t . NET\Framework\v2, 




0.50727\ 


installutil. exe 






PS C:\Dev> IntUtil MonPremierSnapin.dll 






Microsoft (R) . NET Framework Installation 


utility Version 2.0.50727, 


,832 


Copyright (c) Microsoft Corporation. Tous 


droits reserves. 




Execution d'une installation traitee avec 


transaction . 




L 1 installation traitee avec transaction est terminee. 




PS C: \Dev> 







Pour une version 64 bits de Windows, voici le chemin de l'outil .NET Framework Installer : 



PS C:\Dev> set-alias IntUtil $Env :windir\Microsof t . NET\Framework64\ 
v2 . 0 . 50727 \ installutil . exe 



Une fois le composant logiciel enregistre, nous pouvons verifier son existence a l'aide de 
l'applet de commande Get -PSSnapin et de son parametre registered : 



PS C:\Dev> get-pssnapin -registered 

Name : MonPremierSnapin 

PSVersion : 1.0 

Description : Pour devenir le maitre du monde. 
PS C: \Dev> 



La liste retournee par Get -PSSnapin est constitute uniquement des composants logiciels 
enfichables enregistres dans une installation PowerShell. Elle ne contient aucun des compo- 
sants fournis par I'installation de base de PowerShell. 
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Apres avoir verifie l'enregistrement du composant logiciel enfichable, nous le chargeons 
dans la session PowerShell en utilisant l'applet de commande Add-PSSnapin : 



PS C:\Dev> add-pssnapin MyFirstSnapin 
PS C:\Dev> 



L'applet de commande Get - PSSnapin nous permet ensuite de confirmer sa disponibilite dans 
la session PowerShell en cours : 



r 

PS C: \Dev> 


get-pssnapin 


^ 


Name 


: Microsoft. PowerShell. Core 




PSVersion 


: 1 .0 




Description 


: Ce composant logiciel enfichable Windows PowerShell contient 
applets de commande de gestion qui permettent de gerer les 
composants de Windows PowerShell. 


des 


Name 


: Microsoft. PowerShell. Host 




PSVersion 


: 1 .0 




Description 


: Ce composant logiciel enfichable Windows PowerShell contient 
applets de commande utilisees par l'hote Windows PowerShell, 


des 


Name 


: Microsoft . PowerShell . Management 




PSVersion 


: 1 .0 




Description 


: Ce composant logiciel enfichable Windows PowerShell contient 
applets de commande de gestion qui permettent de gerer les 
composants Windows. 


des 


Name 


: Microsoft. PowerShell. Security 




PSVersion 


: 1 .0 




Description 


: Ce composant logiciel enfichable Windows PowerShell contient 


des 




applets de commande qui permettent de gerer la securite de Windows 




PowerShell. 




Name 


: Microsoft. PowerShell. Utility 




PSVersion 


: 1 .0 




Description 


: Ce composant logiciel enfichable Windows PowerShell contient 


des 




applets de commande utilitaires qui permettent de manipuler des 




donnees. 




Name 


: MonPremierSnapin 




PSVersion 


: 1 .0 




Description 


: Pour devenir le maitre du monde. 




PS C: \Dev> 




-* 
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Nous pouvons desormais utiliser notre composant logiciel enfichable MonPremierSnapin 
dans la session PowerShell. Cependant, si nous fermons cette session et en ouvrons une 
nouvelle, il faut a nouveau charger le composant. Comme les alias, les fonctions et les varia- 
bles, un composant logiciel enfichable est, par defaut, valide uniquement dans la session 
PowerShell courante. Pour qu'il persiste entre les sessions, il doit etre charge a chaque 
demarrage d'une session PowerShell. 

Comme nous l'avons explique au Chapitre 2, "Les fondamentaux de PowerShell", 1' utilisa- 
tion d'un profil PowerShell permet de rendre persistants les alias, les fonctions et les varia- 
bles. Nous pouvons egalement employer un profil pour charger un composant logiciel 
enfichable dans nos sessions PowerShell. Une autre methode consiste a utiliser un fichier 
console PowerShell ; ce fichier de configuration a l'extension . psd . II est constitue d'infor- 
mations XML qui donnent la liste des composants logiciels enfichables charges au demar- 
rage de la session PowerShell. Pour creer un fichier console, nous utilisons 1' applet de 
commande Export -Console, comme le montre l'exemple suivant qui cree MaConsole . psd : 



PS C:\Dev> export -console MaConsole 
PS C: \Dev> 



L'extrait de code suivant est un exemple de fichier console PowerShell : 

<?xml version=" 1 . 
<PSConsoleFile Co 
<PSVersion>1 . 0< 
<PSSnapIns> 
<PSSnapIn Nam 
</PSSnapIns> 
</PSConsoleFile> 

PowerShell peut ensuite utiliser ce document XML pour charger les composants logiciels 
enfichables conformement a une configuration precedente de sa console. Pour cela, il suffit 
de lancer PowerShell en definissant le parametre PSConsoleFile : 



C : \>powershell . exe -PSConsoleFile C:\Dev\MaConsole.psc1 



Naturellement, nous ne souhaitons pas saisir cette commande a chaque lancement de PowerShell. 
Nous pouvons done creer un raccourci qui demarre notre configuration personnelle de Power- 
Shell. Cette methode est analogue a l'ouverture d'EMS depuis le menu Demarrer de Windows. 
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Puisque EMS n'est qu'un composant logiciel enfichable pour PowerShell, il suffit de le char- 
ger dans la session PowerShell pour pouvoir acceder a ses applets de commande : 



PS C:\> add-pssnapin Microsoft. Exchange. Management. PowerShell. Admin 
PS C:\> 



Cependant, le chargement du composant EMS et le demarrage d'EMS a partir du menu 
Demarrer de Windows ne sont pas totalement equivalents. Si nous chargeons simplement le 
composant logiciel enfichable, nous ne disposons pas de la console d' administration person- 
nalisee d' Exchange. La session PowerShell ne ressemble pas et ne fonctionne pas comme 
EMS car le composant charge uniquement les applets de commande pour 1' administration de 
l'environnement Exchange. Pour que la session PowerShell ressemble a EMS, nous devons 
executer le meme script de configuration que celui vise par le raccourci du menu Demarrer. 
Ce script, Exchange. psl, se trouve dans le repertoire par defaut des binaires d'Exchange 
Server 2007 : C : \Program Files\Microsof t\Exchange Server\Bin. 

Le script GetDatabaseSizeReport.psI 

GetDatabaseSizeReport . psl est le premier script etudie dans ce chapitre. II genere un rapport 
sur la taille des bases de donnees des boites aux lettres dans un deploiement Exchange. Ce 
rapport contient les informations suivantes : 

■ le nom du serveur d'une boite aux lettres ; 

■ le nom complet de la base de donnees, y compris celui du groupe de stockage ; 

■ le lecteur sur lequel se trouve la base de donnees ; 

■ l'espace disponible sur le lecteur, en gigaoctets ; 

■ la taille de la base de donnees, en gigaoctets. 

Voici un exemple de rapport cree par GetDatabaseSizeReport . psl : 

Server , Database , Drive , FreeSpace , Size 
SFEX01 ,SG1 \DB1 ,C: ,34.67,40.453 
SFEX02,SG1 \DB1 ,F: ,40.56,20.232 
SFEX02.SG1 \DB2,F: ,40.56,30.2144 
SFEX02,SG2\DB1 ,F: ,40.56,45.333 
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Toute information concernant notre environnement reseau est utile. Cependant, lorsque nous 
utilisons Exchange, connaitre la taille des bases de donnees des boites aux lettres, leur crois- 
sance, l'espace disponible sur le lecteur hote et le comportement general des bases de donnees 
dans P environnement reseau peut permettre d'eviter certains problemes. 

Ce script a ete developpe pour companyabc.com, une petite societe dont le reseau est compose 
de plusieurs centaines d'utilisateurs et de deux serveurs Exchange. Les contraintes budgetai- 
res n'autorisent qu'une seule personne dans le service informatique. Elles n'ont egalement 
pas permis Pachat et Pinstallation d'un logiciel de surveillance et de compte-rendu sur les 
systemes informatiques. Par consequent, le seul employe du service informatique ne dispo- 
sal que de methodes manuelles pour s'assurer du fonctionnement des systemes et n'avait pas 
souvent le temps d'effectuer une surveillance proactive. 

Les bases de donnees des boites aux lettres d'Exchange ont done grossi jusqu'a empecher toute 
maintenance hors ligne et les disques hebergeant ces bases de donnees manquaient d'espace. 
Apres avoir evite de justesse plusieurs desastres, la direction de companyabc.com a demande au 
service informatique de trouver une solution pour ameliorer la surveillance des bases de donnees 
Exchange. Ayant besoin d'un moyen rapide, souple et bon marche, Punique developpeur s'est 
tourne vers les scripts et a demande le developpement de GetDatabaseSizeReport . ps1 . 

Vous en trouverez une copie dans le dossier Scripts\Chapitre 1 1 \GetDatabaseSizeReport 
et en telechargement depuis le site www.pearsoneducation.fr. L execution de ce script ne 
necessite aucun parametre. Cependant, un parametre facultatif, Export File, peut preciser le 
nom du fichier CSV dans lequel sont enregistrees les donnees du rapport. Voici la commande 
qui permet d'executer le script GetDatabaseSizeReport . ps1 : 



PS C:\Scripts> . \GetDatabaseSizeReport . ps1 



Les Figures 11.1 et 11.2 illustrent son execution. 

Voici la suite des operations effectuees par le script GetDatabaseSizeReport . ps1 : 

1. Le script cree deux objets DataTable : $ServersTable, qui enregistre les informations 
d'etat des serveurs de boites aux lettres Exchange, et SReportTable, qui contient le 
rapport sur la taille des bases de donnees. 

2. II cree un journal des erreurs nomme GetDatabaseSizeReport_Errors.log a Paide de 
P applet de commande Out -File. Ce journal permet aux utilisateurs d'obtenir des infor- 
mations detaillees sur les erreurs. 
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T C:\WINDOWS\system32\WindowsPowerShell\v1 .0\PowerShell.exe 



BSD 



PS C:\Scripts> .\GetDatabaseSizeReport .psl report .csv 



Obtention des infornations sur le lecteur - E2007 
Ueuillez patienter. . . 

ttt Utilisateur : tyson 

tt Date : Tue Oct 30 13:54:05 2007 

tt tttttttt tt tt tt It tt tttttttt tttttttt tttt it it it it it tttt it tt tt it tt tttt tttttttt 




Obtention des serveurs de boites aux lettres 
Obtention des infornations d'etat [OK] 
Obtention des infornations pour le rapport_ 



[OKI 



Figure 11.1 

Execution en cours du script GetDatabaseSizeReport.psI . 



X C:\WINDOWS\system32\WindowsPowerShellVv1.0\PowerShell.exe BED 

PS C :\Scripts > -\Get Databases izeReport . psl report .csv j 

tttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttt I 

tt Script Get Databases izeReport .psl [ 

tt Usage : Ce script genere un rapport sur la taille des bases de donnees h 

Exchange . 
tt Utilisateur : tyson 

tt Date : Tue Oct 30 13:54:05 2007 

tt tt tt tt tt tt tt tt tt tttttt tt tt tt tttttttttttttt tttt tttttttt tttttttttttt tttttttt 

Obtention des serveurs de boites aux lettres [OK] 

Obtention des infornations d'etat [OK] 

Obtent ion des inf ornat ions pour le rapport [OK ] 



Seruer: E2007 

Database Drive PreeSpace Size 



[First Storage Group\Mailbox Database C: 2,714 0,0644683837890625 



Seruer: e2007CCR 



Database Drive FreeSpace Size 



Storage Group 2\Mailbox Database 2 F: 0,995 0,0058746337890625 

First storage group\Mailbox Database 2 F: 0,995 0,0058746337890625 



Figure 11.2 

Execution du script GetDatabaseSizeReport.psI terminee. 
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3. Le script invoque l'applet de commande Get-MailboxServer pour obtenir une liste de 
tous les serveurs de boites aux lettres Exchange, qui est ensuite placee dans la variable 
$MailboxServers. 

4. Le script utilise la classe System. Net. Networklnformation. Ping pour contacter chaque 
serveur de la collection $MailboxServers. Si un serveur repond, une nouvelle ligne est 
alors ajoutee dans l'objet $ServersTable. Elle est constitute du nom du serveur et de 
l'etat "En ligne". Si un serveur ne repond pas, une nouvelle ligne est egalement ajoutee 
dans cet objet $ServersTable, mais son etat est fixe a "Hors ligne". 

5. La liste des serveurs et de leur etat est enregistree dans le journal des erreurs du script 
afin de pouvoir y faire ensuite reference a l'aide de l'applet de commande Out - File. 

6. Pour chaque serveur "En ligne" present dans $ServersTable, le script precede aux opera- 
tions suivantes : 

- L'applet de commande Get-MailboxDatabase est appelee pour obtenir une liste de 
toutes les bases de donnees des boites aux lettres sur le serveur. Les informations 
Name, StorageGroupName et EdbFilePath de chaque base sont placees dans la variable 
$Databases. 

- Pour chaque base de boites aux lettres presente dans la collection $Databases, le script 
invoque l'applet de commande Get-WmiObject afin de reunir des informations sur la 
taille de la base et l'espace disponible sur le lecteur. II ajoute ensuite a $ReportTable 
une ligne qui contient le nom du serveur de boites aux lettres ($Server . Name), le nom 
de la base de donnees ($DBName), la lettredu lecteur hebergeant la base ($DBDriveName), 
l'espace disponible ($DBDriveFreeSpace) et la taille de la base ($DBSize). 

7. Le script exporte toutes les donnees de $ReportTable a l'aide de la fonction Export - 
DataTable. 



Info 



Ce script et les autres scripts de ce chapitre ne pourront etre executes qu'en utilisant une 
session PowerShell dans laquelle le composant logiciel enfichable Microsoft. Exchange. 
Management . PowerShell. Admin a ete charge. 



Le premier extrait de code contient l'en-tete du script GetDatabaseSizeReport . psl . II four- 
nit des informations sur le role du script, sa date de derniere mise a jour et son auteur. 
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Juste apres l'en-tete, nous trouvons le seul parametre ExportFile du script : 

################################################## 

# GetDatabaseSizeReport.psI 

# Ce script genere un rapport sur la taille des bases de donnees Exchange. 
# 

# Cree le : 26/10/2006 

# Auteur : Tyson Kopczynski 

################################################## 
param( [string] $ExportFile) 



Dans le script GetDatabaseSizeReport.psI, une seule fonction (Export -DataTable) est definie 

################################################## 

# Fonctions. 

################################################## 
# 

# Export -DataTable 
# 

# Usage : Exporter un DataSet dans un fichier CSV. 

# $Data : L'objet DataSet. 

# $FileName : Norn du fichier CSV d ' exportation . 

function Export -DataTable{ 
param ($Data, $FileName) 

$Null = ' 

[System . Reflection .Assembly ] : : LoadWithPartialName ( 
"System .Windows . Forms " ) 

trap{write-host "[ERREUR] $_" -Foregroundcolor Red; Continue} 

if (SFileName -eq ""){ 

SexFileName = new-object System. Windows. Forms. saveFileDialog 
SexFileName.DefaultExt = "csv" 

SexFileName. Filter = "CSV (Comma delimited) (*.csv)l*. csv" 
$exFileName.ShowDialog( ) 
SFileName = SexFileName . FileName 
} 

if (SFileName -ne ""){ 

SLogFile = new-object System. 10. StreamWriter($FileName, $False) 
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for ($i=0; $i -le $Data. Columns. Count -1 ; $i++){ 
$LogFile .Write ( $Data . Columns [ $i ] . ColumnName ) 

if ($i -It $Data. Columns. Count-1 ){ 
$LogFile. Write (",") 
} 

} 

$LogFile .WriteLine ( ) 

foreach ($Row in $Data.Rows){ 

for ($i=0; $i -le $Data. Columns. Count-1 ; $i++){ 
$LogFile.Write($Row[$i] .ToString( ) ) 

if ($i -It $Data. Columns. Count -1 ) { 
$LogFile. Write (",") 
} 

} 

$LogFile .WriteLine ( ; 
} 



$LogFile.Close() 
} 



Pour exporter les donnees, la fonction Export - DataTable s'appuie sur la classe .NET System . 
iO.StreamWriter et cree $LogFile, un objet de la classe .NET TextWriter. Celui-ci permet 
d'ecrire un objet dans une chaine ou des chaines dans un fichier ou de serialiser un document 
XML. Dans ce script, $LogFile est utilise pour envoyer le contenu du DataTable dans le 
fichier CSV (qui est cree en meme temps que $LogFile). Pour cela, la fonction Export - 
DataTable ecrit dans le fichier CSV les noms des colonnes du DataTable, separes par une 
virgule (,). Ensuite, elle parcourt chaque ligne du DataTable et ecrit ses valeurs dans le 
fichier CSV, en les separant par une virgule (,). 

Si Export -DataTable est invoquee sans preciser le nom du fichier CSV, elle utilise la classe .NET 
System. Windows. Forms. saveFileDialog pour construire une boite de dialogue Enregistrer 
sous, qui permet d'indiquer le nom et l'emplacement de ce fichier (voir Figure 11.3). 

Cet exemple illustre l'une des nombreuses possibilites offertes a PowerShell par Windows 
Forms pour collecter ou af richer des donnees. 
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Enregistrer sous 



Enregisltei dans : | Q rapports 

Mes documents 
recents 

3 

Bureau 
Mes documents 




Favoris reseau Nom du fichier : 
Type: 



**] | Enregistrer | 



| CSV (Comma delimitedj(".csv) 



•w | Annulet 



Figure 11.3 

Boite de dialogue Enregistrer sous fournie par Windows Forms. 



Dans l'extrait de code suivant, nous definissons les variables qui seront utilisees par la suite. 
Par ailleurs, la bibliotheque LibraryGen.psl est chargee de maniere a fournir les fonctions 
d'utilisation du script : 



################################################## 

# Code principal. 

################################################## 
# 

# Charger des bibliotheques . 
# 

. . \LibraryGen . ps1 



# 

# Definir les variables de configuration. 

# 

$ScriptName = "GetDatabaseSizeReport . ps1 " 

$ScriptUsage = "Ce script genere un rapport sur la taille des bases" 
+"de donnees Exchange." 

$ScriptCommand = "$ScriptName -ExportFile valeur" 

$ScriptParams = "ExportFile = Fichier CSV d 1 exportation . " 

$ScriptExamples = "SScriptName "" rapport . csv 

$ErrorLogName = "GetDatabaseSizeReport.log" 

$Date = Date 
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Ensuite, le script verifie si l'utilisateur a besoin d'une aide : 

# 

# Verifier les parametres obligatoires . 
# 

if ($args[0] -match 1 - ( \?l { hi ( help) ) ) ' ) { 
write-host 

Get-ScriptHeader $ScriptName $ScriptUsage 

Show-ScriptUsage $ScriptCommand $ScriptParams $ScriptExamples 

Return 

} 

Le code suivant cree les deux objets DataTable. Le premier se trouve dans $ServersTable et 
contient les informations sur le serveur. Le second est place dans $ReportTable et contient 
les informations du rapport : 

# 

# Definir les DataTable. 

# 

$ServersTable = new-object System. Data. DataTable 
SServersTable.TableName = "Servers" 
[ Void] $ServersTable . Columns .Add ( "Name" ) 
[Void]$ServersTable. Columns. Add( "Status" ) 

SReportTable = new-object System. Data. DataTable 

SReportTable.TableName = "Servers" 

[ Void ]$ReportTable. Columns. Add ( "Server" ) 

[ Void ]$ReportTable. Columns .Add ( "Database" ) 

[Void] $ReportTable .Columns .Add ( "Drive" ) 

[ Void ] $ReportTable . Columns .Add ( " FreeSpace " ) 

[ Void ]$ReportTable. Columns . Add ( "Size" ) 

Puis, 1' applet de commande Out - File cree un journal des erreurs et y ecrit des informations 
d'en-tete. Ensuite, la fonction Get -ScriptHeader signale a l'operateur du script que la partie 
automation a demarre : 

# 

# Debut du script. 

# 

# Commencer le journal des erreurs. 

SScriptName + " Execute le : " + $Date I out -file $ErrorLogName 
write-host 

Get-ScriptHeader SScriptName $ScriptUsage 
write-host 
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Apres l'affichage de l'en-tete a l'utilisateur, la tache suivante du script consiste a obtenir une 
liste des serveurs de boites aux lettres a l'aide de l'applet de commande Get -MailboxServer. 
Ensuite, pour chaque objet present dans la variable $MailboxServers, il contacte le serveur 
correspondant afin de determiner son etat. Au cours de cette procedure, l'etat obtenu et le 
nom du serveur sont ecrits dans une nouvelle ligne de 1' objet $ServersTable : 

# 

# Obtenir les serveurs et leur etat. 

# 

write-host "Obtention des serveurs de boites aux lettres" -NoNewLine 
$MailboxServers = get -mailboxserver 
write-host 't "[OK]" -Foregroundcolor Green 

write-host "Obtention des informations d'etat" -NoNewLine 

$MailboxServers I f oreach -obj ect -Begin {$i=0;} 

-Process {&{$Ping = new-object Net . Networklnf ormation . Ping ; 
$MBServerName = $_.Name; 

trap{" [ERREUR] de ping : " + $MBServerName + " $_" I out-file 1 

SErrorLogName -Append; Continue}; 
$Result = $Ping.Send($MBServerName) ; 
if ($Result. Status -eq "Success" ){ 

[Void]$ServersTable.Rows.Add($MBServerName, "En ligne")} 
else{[ Void ]$ServersTable. Rows. Add ($MBServerName, "Hors ligne" )}; 
$i = $i+1 ; 

write-progress -Activity "Contact des serveurs - $($MBServerName) " 
-Status "Progression :" 

-PercentComplete ($i / SMailboxServers . Count * 100)}} 
write-host ~t "[OK]" -Foregroundcolor Green 

# Ecrire les informations d'etat dans le journal des erreurs. 
SServersTable I out -file $ErrorLogName -Append 

La phase suivante consiste a generer le rapport final. Le script se sert de 1' applet de commande 
Get -MailboxDatabase pour obtenir le EdbFilePath de chaque serveur Exchange en ligne. 
Ensuite, pour chaque base de donnees des boites aux lettres, le script utilise WMI pour 
connaitre la taille de la base de donnees et l'espace disponible sur le disque qui l'heberge. 
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Toutes ces informations sontensuite ajoutees dans une nouvelle ligne de l'objet $ReportTable 
(un DataTable) : 

# 

# Obtenir les informations pour le rapport. 

# 

write-host "Obtention des informations pour le rapport" -NoNewLine 




$OnlineServers = $ServersTable . Select ( "Status = 

foreach (SServer in SOnlineServers) { 
&{ 

trap{ " [ ERREUR] de creation du rapport : " + SServer.Name + " $_" I 
out -file SErrorLogName -Append; Continue} 

write-progress 

-Activity "Obtention des informations des bases de donnees 

- $($Server.Name) " ' 

-Status "Veuillez patienter. . . " 

SDatabases = get -mailboxdatabase -Server SServer.Name I 
select Name, StorageGroupName , EdbFilePath 

foreach (SDatabase in $Databases){ 
&{ 

write-progress 

-Activity "Obtention des informations sur le lecteur " + 

- $( SServer.Name) " ' 

-Status "Veuillez patienter..." 

SDBDriveName = SDatabase . EdbFilePath . DriveName 
SDBDrive = 1 

get -wmiobj ect Win32_Perf RawData_Perf Disk_LogicalDisk 
-Computer SServer.Name -Filter "Name = 'SDBDriveName'" 

write-progress -Activity 

"Obtention des informations sur la taille du lecteur " + 

- $( SServer.Name) " 1 

-Status "Veuillez patienter..." 
# \ doit etre remplace par \\. 

SDBPath = SDatabase. EdbFilePath. PathName. Replace ( " \ " , " \\ " ) 
SDBFile = get-wmiobject CIM_DataFile -Computer SServer.Name 
-Filter "Name = 'SDBPath'" 

SDBName = SDatabase. StorageGroupName + "\" + SDatabase . Name 
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# Les megaoctets doivent etre convertis en gigaoctets. 
$DBDriveFreeSpace = $DBDrive . FreeMegabytes / 1000 

# Les octets doivent etre convertis en gigaoctets. 
$DBSize = $DBFile.FileSize / 1073741824 




[ Void ] $ReportTable . Rows . Add ( $Server . Name , $DBName , 
$DBDriveName, $DBDriveFreeSpace, $DBSize) 




write-progress -Activity 

"Obtention des informations des bases de donnees 
-Status "Termine" -completed $True 



$($Server.Name) 1 



} 

} 

write-host 't "[OK]" -Foregroundcolor Green 



Pour finir, le script affiche le rapport sur la console PowerShell a l'aide de 1' applet de 
commande Format - Table et exporte les donnees dans le fichier CSV en invoquant la fonction 
Export -DataTable. 

$ReportTable I format-table -groupBy Server Database, Drive, 
FreeSpace, Size -autosize 

$Null = Export -DataTable SReportTable SExportFile 



Le script GetEventl 221 Info. ps1 

Les administrateurspeuventutiliser le script GetEventl 221 Info . psl pour effectuer des recher- 
ches dans les journaux d'evenements d'application des serveurs Exchange Server 2007 et 
generer un rapport qui contient les messages dont l'identifiantd'evenement est 1221. A partir 
de ces messages, les administrateurs Exchange peuvent determiner la quantite d'espace vide 
present dans une base de donnees pendant la duree indiquee (nombre de jours avant 
aujourd'hui). Voici les points contenus dans le rapport : 

■ le nom du serveur des boites aux lettres ; 

■ la date et l'heure auxquelles l'evenement a ete ecrit dans le journal Application ; 
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■ le nom complet de la base de donnees, y compris le nom du groupe de stockage 

■ la quantite d'espace vide, en megaoctets. 

Voici un exemple de rapport genere par le script GetEventl 221 Info . psl : 



Server 


TimeWritten , Database , MB 




SFEX02 


10/27/2006 


1 


00 


02 


AM,SG1 \DB1 


500 


SFEX02 


10/27/2006 


1 


00 


06 


AM,SG2\PF1 


700 


SFEX02 


10/27/2006 


2 


00 


00 


AM,SG1 \DB1 


500 


SFEX02 


10/27/2006 


2 


00 


01 


AM,SG2\PF1 


700 


SFEX02 


10/27/2006 


3 


00 


00 


AM,SG1 \DB1 


500 


SFEX02 


10/27/2006 


3 


00 


32 


AM,SG2\PF1 


700 


SFEX02 


10/27/2006 


4 


00 


00 


AM,SG1 \DB1 


500 


SFEX02 


10/27/2006 


4 


00 


00 


AM,SG2\PF1 


700 


SFEX01 


10/27/2006 


1 


00 


04 


AM,SG1 \DB2 


200 


SFEX01 


10/27/2006 


1 


00 


04 


AM,SG1 \DB1 


100 


SFEX01 


10/27/2006 


2 


00 


00 


AM,SG1 \DB1 


200 


SFEX01 


10/27/2006 


2 


00 


00 


AM,SG1 \DB2 


100 


SFEX01 


10/27/2006 


3 


15 


00 


AM,SG1 \DB1 


100 


SFEX01 


10/27/2006 


3 


15 


00 


AM,SG1 \DB2 


200 


SFEX01 


10/27/2006 


4 


00 


00 


AM,SG1 \DB1 


200 


SFEX01 


10/27/2006 


4 


00 


00 


AM,SG1 \DB2 


100 



Ce script a ete developpe pour companyabc.com, une societe de cinquante utilisateurs dont 
les boites aux lettres Exchange sont tres volumineuses (4 Go et plus). Cette entreprise produit 
des paquetages marketing constitues d'images numeriques et dont la taille moyenne est 
superieure a 20 Mo. Les employes de companyabc.com travaillent a domicile et dans diffe- 
rentes agences. lis s'echangent generalement les paquetages marketing par courrier electro- 
nique au lieu de les poster dans un endroit partage. 

Puisque les employes utilisent leur boite aux lettres comme des systemes de fichiers en ligne, 
la taille de ces boites a augmente tres rapidement. Comprenant que des boites d'une telle 
taille sont couteuses et difficiles a maintenir, l'administrateur Exchange de companyabc.com 
a demande que le contenu marketing soit enregistre localement sur les disques durs des utili- 
sateurs et retire de leur boite aux lettres. Cette pratique a evite aux bases de donnees Exchange 
de grandir trop rapidement. Cependant, la frequence de suppression des messages electroni- 
ques volumineux a engendre un autre probleme : les bases de donnees Exchange sont 
remplies de vastes zones vides. 

La quantite d'espace vide est importante car lorsqu'une base de donnees Exchange a 
grandi, sa taille ne peut etre reduite tant que l'administrateur ne precede pas a une defrag- 
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mentation hors connexion. Par exemple, une base de donnees a atteint 12 Go, mais les 
utilisateurs ont supprime 3 Go de messages. Apres une defragmentation en ligne, les iden- 
tifiants d'evenements 1221 indiquent un espace disponible de 3 Go. Les nouveaux messa- 
ges ecrits dans la base utilisent cet espace et sa taille n'augmente pas tant que tout cet 
espace n'est pas utilise. 

La base de donnees occupe toujours 12 Go sur le disque dur, meme si elle ne contient que 
9 Go de donnees. Si elle est plus volumineuse que necessaire, elle risque d'augmenter le 
temps necessaire aux sauvegardes et aux restaurations. En examinant les evenements d'iden- 
tifiant 1221, les administrateurs peuvent determiner si une defragmentation hors connexion 
est necessaire pour reduire la taille de la base de donnees et ameliorer les performances 
globales. Par ailleurs, en surveillant periodiquement ces evenements dans les journaux, les 
administrateurs suivent la quantite d'espace vide moyen d'une base de donnees et determi- 
nent plus facilement le schema de croissance des donnees reelles dans la base. Grace a cette 
information, ils sont en mesure de decider du moment ou un espace supplemental doit lui 
etre alloue. 

N'ayant pas le budget necessaire pour acheter des outils Exchange, companyabc.com a 
demande le developpement d'un script qui surveille l'espace disponible dans les bases de 
donnees Exchange. Le script resultant se nomme GetEventl22llnfo.psl. 

Vous en trouverez une copie dans le dossier Scripts\Chapitre 1 1 \GetEventl22l Info et en 
telechargement depuis le site www.pearsoneducation.fr. L execution de ce script necessite 
la definition d'un parametre. L argument du parametre Days doit fixer la periode (en nombre 
de jours) concernee par la recherche des evenements d'identifiant 1221 dans les serveurs des 
boites aux lettres. Largument du parametre facultatif ExportFile precise le nom du fichier 
CSV dans lequel seront exportees les donnees du rapport. Voici la commande qui permet 
d'executer le script GetEvent 1221 Info. psl : 



PS C:\Scripts> . \GetEvent1 221 Info . ps1 5 



Les Figures 1 1 .4 et 11.5 illustrent son execution. 

Voici la suite des operations realisees par le script GetEventl22llnfo.ps1 : 

1. Le script cree deux objets DataTable : $ServersTable, qui enregistre les informations 
d'etat des serveurs de boites aux lettres Exchange, et $EventsTable, qui contient le 
rapport des evenements 1221. 
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T C:\WINDOWS\system32\WindowsPowerShell\v1 .0\PowerShell.exe 



BED 



PS C:\Scripts> .\GetEuentl221Info.ps! 5 



Collecte des euenements depuis - E2007 
Ueuillez patienter... 

tt Utilisateur - tyson 

8 Date : Tue Oct 30 14:13:13 

888BBBBBBBBBB8B8B8BBB8BBBBBBBBBB888888 




2007 



Obtention des serueurs de boites aux lettres 
Obtention des informations d'etat [OK] 
Obtention des informations euenements 



[OK ] 



Figure 11.4 

Execution au cours du script GetEventl 221 Info. ps1 . 



PS C:\Scripts> .\GetEuentl221Inf o.psl 5 

tttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttt 

tt Script GetEuentl221Inf o.psl 

tt Usage : Ce script exploite les euenements 1221 des serueurs des boites 

aux lettres. 
tt Utilisateur : tyson 

tt Date : Tue Oct 30 14:13:13 2007 

tttttttttttttmtttttttttttttttttttttttttttttttttttttttttttttttttttttttttttt 

Obtention des serueurs de bo it es aux lettres [OK I 

Obtention des informations d'etat [OK] 
Obtention des informations euenements [OKI 

Le script est termine t 

Consultez GetEuentl221Info.log pour les erreurs. 

PS C:\Scripts> 



Figure 11.5 

Execution du script GetEventl 221 Info. ps1 terminee. 
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2. II cree un journal des erreurs nomme Get Event 1221 Info _Errons.log a l'aide de 1' applet 
de commande Out -File. Ce journal permet aux utilisateurs d'obtenir des informations 
detaillees sur les erreurs. 

3. Le script invoque l'applet de commande Get-MailboxServer pour obtenir une liste de 
tous les serveurs de boites aux lettres Exchange, qui est ensuite placee dans la variable 
$MailboxServers. 

4. Le script utilise la classe System. Net. Networklnformation. Ping pour contacter chaque 
serveur de la collection $MailboxServers. Si un serveur repond, une nouvelle ligne est 
alors ajoutee dans l'objet $ServersTable. Elle est constitute du nom du serveur et de 
l'etat "En ligne". Si un serveur ne repond pas, une nouvelle ligne est egalement ajoutee 
dans cet objet $ServersTable, mais son etat est fixe a "Hors ligne". 

5. La liste des serveurs et de leur etat est enregistree dans le journal des erreurs du script 
arm de pouvoir y faire ensuite reference a l'aide de l'applet de commande Out -File. 

6. Pour chaque serveur "En ligne" present dans $ServersTable, le script precede aux opera- 
tions suivantes : 

- La fonction Get -RemoteEventLog est appelee de maniere a creer un objet ($Events) lie 
au journal Application du serveur. Pour creer cet objet, elle utilise la classe .NET 
System. Diagnostics. Eventlog, qui permet a une application ou aun script d'interagir 
avec les journaux des evenements d'une machine. 

- Ensuite, le script invoque l'applet de commande Select -Object pour selectionner, a 
partir de la propriete Entries de l'objet $E vents, tous les evenements 1221 qui sont 
survenus pendant la periode indiquee ($Days). La collection d'evenements resultante 
est placee dans la variable $1221 Events. 

- Pour chaque objet de la collection $1221 Events, le script appelle sa methode get_ 
timewritten( ) arm d'enregistrer dans la variable $TimeWritten le moment de l'eve- 
nement. Ensuite, une expression reguliere extrait du message de l'evenement l'espace 
libre ($MB) et le nom ($Database) de la base de donnees. 

- Une ligne qui contient le nom du serveur ($Server.Name), la date de l'evenement 
($TimeWritten), le nom de la base de donnees ($Database) et l'espace disponible en 
megaoctets ($MB) est ajoutee a $EventsTable. 

7. Le script exporte toutes les donnees de $EventsTable a l'aide de la fonction Export - 
DataTable. 
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Le premier extrait de code contient l'en-tete du script GetEventl 221 Info . psl . II fournit des 
informations sur le role du script, sa date de derniere mise a jour et son auteur. Juste apres 
l'en-tete, nous trouvons les parametres du script : 

################################################## 

# GetEvent1221Info.ps1 

# Ce script exploite les evenements 1221 des serveurs des 

# boites aux lettres. 
# 

# Cree le : 26/10/2006 

# Auteur : Tyson Kopczynski 

################################################## 
param([int] $Days, [string] $ExportFile) 

Ensuite, la fonction Get-RemoteEventLog est definie. Elle collecte les informations EventLog 
d'une machine distante en utilisant la classe System . Diagnostics . Eventlog. Puis, c'est au tour 
de la fonction Export -DataTable, que nous avons deja rencontree a la section precedente : 

################################################## 

# Fonctions. 

################################################## 
# 

# Get-RemoteEventLog 

# 

# Usage : Recueillir les informations EventLog depuis 

# une machine distante. 

# $Machine : Norn de la machine ( "MonServeur" ) . 

# $Log : Norn du EventLog ("Application"). 

function Get -RemoteEventLog{ 
param ($Machine, $Log) 

trap{Continue} 

new-object System. Diagnostics. Eventlog $Log, $Machine 
} 

# 

# Export -DataTable 
# 

# Usage : Exporter un DataSet dans un fichier CSV. 

# $Data : L'objet DataSet. 

# $FileName : Norn du fichier CSV d ' exportation . 
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function Export -DataTable{ 
param ($Data, $FileName) 

$Null = ' 

[System . Reflection .Assembly ] : : LoadWithPartialName ( 
"System .Windows . Forms" ) 

trap{write-host " [ERREUR] $_" -Foregroundcolor Red; Continue} 

if (SFileName -eq ""){ 

SexFileName = new-object System. Windows. Forms. saveFileDialog 
SexFileName.DefaultExt = "csv" 

SexFileName. Filter = "CSV (Comma delimited) (*.csv)l*. csv" 
$exFileName.ShowDialog( ) 
SFileName = SexFileName . FileName 
} 

if (SFileName -ne ""){ 

SLogFile = new-object System. 10. StreamWriter($FileName, $False) 

for ($i=0; $i -le $Data. Columns. Count-1 ; $i++){ 
SLogFile .Write ($Data . Columns [ $i] . ColumnName ) 

if ($i -It $Data. Columns. Count-1 ){ 
$LogFile.Write(", ") 
} 

} 

$LogFile.WriteLine( ) 

foreach ($Row in $Data.Rows){ 

for ($i=0; $i -le $Data. Columns. Count-1 ; $i++){ 
$LogFile.Write($Row[$i] .ToString() ) 

if ($i -It $Data. Columns. Count-1 ){ 
$LogFile.Write( " , " ) 
} 

} 

$LogFile.WriteLine( ) 
} 



SLogFile. Close () 
} 
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Dans l'extrait de code suivant, nous definissons les variables qui seront utilisees par le script. 
Par ailleurs, la bibliotheque LibraryGen.psl est chargee de maniere a fournir les fonctions 
d' utilisation du script : 

################################################## 

# Code principal. 

################################################## 
# 

# Charger des bibliotheques . 
# 

. . \LibraryGen . ps1 

# 

# Definir les variables de configuration. 
# 

$ScriptName = "GetEventl 221 Info . ps1 " 

$ScriptUsage = "Ce script exploite les evenements 1221 des serveurs" 
+ "des boites aux lettres." 

$ScriptCommand = "$ScriptName -Days valeur -ExportFile valeur" 
$ScriptParams = "Days = Nombre de jours concernes par la recherche" 
+ "des evenements.", "ExportFile = Fichier CSV d 1 exportation . " 
SScriptExamples = "$ScriptName 5 "" rapport . csv 
$ErrorLogName = "GetEvent1221Info.log" 
$Date = Date 

Ensuite, le script verifie si l'utilisateur a besoin d'une aide. Si ce n'est pas le cas, il s'assure 
que le parametre Days est defini. S'il ne Test pas, il informe l'operateur du script que ce para- 
metre est obligatoire et affiche les informations d' utilisation : 

# 

# Verifier les parametres obligatoires . 
# 

if ($args[0] -match ' - ( \?l ( hi ( help) ) ) ' ) { 
write-host 

Get -ScriptHeader $ScriptName SScriptUsage 

Show-ScriptUsage $ScriptCommand $ScriptParams SScriptExamples 

Return 

} 

if (!$Days){ 
write-host 

write-host "Veuillez preciser le nombre de jours !" -Foregroundcolor Red 
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write-host 

Get -ScriptHeader $ScriptName $ScriptUsage 
Show-ScriptUsage SScriptCommand $ScriptParams $ScriptExamples 
Return 

} 



Le code suivant cree les deux objets DataTable. Le premier se trouve dans $ServersTable et 
contient les informations sur le serveur. Le second est place dans $EventsTable et contient 
les informations du rapport : 

# 

# Definir les DataTable. 

# 

$ServersTable = new-object System. Data. DataTable 
$ServersTable.TableName = "Servers" 
[Void]$ServersTable. Columns. Add( "Name" ) 
[Void]$ServersTable. Columns. Add( "Status" ) 

SEventsTable = new-object System. Data. DataTable 

SEventsTable.TableName = "Servers" 

[ Void] $E vent sTable .Columns .Add ( "Server" ) 

[ Void] $E vent sTable .Columns .Add ( "TimeWritten" , [DateTime] ) 

[Void]$EventsTable. Columns. Add( "Database" ) 

[ Void ]$E vent sTable. Columns. Add ( "MB" ) 

Puis, 1' applet de commande Out -File cree un journal des erreurs et y ecrit des informations 
d'en-tete. Ensuite, la fonction Get -ScriptHeader signale a l'operateur du script que la partie 
automation a demarre : 

# 

# Debut du script. 

# 

# Commencer le journal des erreurs. 

$ScriptName + " Execute le : " + $Date I out -file SErrorLogName 
write-host 

Get -ScriptHeader SScriptName $ScriptUsage 
write-host 



318 Parties 



Utiliser PowerShell pour les besoins d'automation 



La tache suivante consiste a obtenir une liste des serveurs de boites aux lettres a l'aide de 
l'applet de commande Get -MailboxServer. Ensuite, pour chaque objet present dans la varia- 
ble $MailboxServers, nous contactons le serveur correspondant afin de determiner son etat. 
Au cours de cette procedure, l'etat obtenu et le nom du serveur sont ecrits dans une nouvelle 
ligne de l'objet $ServersTable : 

# 

# Obtenir les serveurs et leur etat. 

# 

write-host "Obtention des serveurs de boites aux lettres" -NoNewLine 
$MailboxServers = get -mailboxserver 
write-host 't "[OK]" -Foregroundcolor Green 

write-host "Obtention des informations d'etat" -NoNewLine 

$MailboxServers I f oreach -obj ect -Begin {$i=0;} 

-Process {&{$Ping = new-object Net . Networklnf ormation . Ping ; 
$MBServerName = $_.Name; 

trap{" [ERREUR] de ping : " + $MBServerName + " $_" I out-file ' 

$ErrorLogName -Append; Continue}; 
$Result = $Ping.Send($MBServerName) ; 
if ($Result. Status -eq "Success"){ 

[Void]$ServersTable.Rows.Add($MBServerName, "En ligne")} 
else{ [ Void] $ServersTable . Rows .Add ($MBServerName , "Hors ligne " ) } ; 
$i = $i+1 ; 

write-progress -Activity "Contact des serveurs - $($MBServerName) " 
-Status "Progression :" 

-PercentComplete ($i / $MailboxServers. Count * 100)}} 
write-host "t "[OK]" -Foregroundcolor Green 

# Ecrire les informations d'etat dans le journal des erreurs. 
$ServersTable I out -file $ErrorLogName -Append 

La phase suivante consiste a generer le rapport final. Le script invoque la methode Select ( ) 
de DataTable pour creer une collection des serveurs en ligne ($OnlineServers). Ensuite, 
pour chaque serveur de la collection SOnlineServers, il appelle la fonction Get- 
RemoteEventLog afin d'obtenir tous les messages des evenements Application de ce serveur. 
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Pour chaque message d'evenement 1221, une nouvelle ligne contenant ces informations 
mises en forme est ajoutee a l'objet DataTable dans $EventsTable : 



# Obtenir les informations d'evenement. 

# 

write-host "Obtention des informations evenements" -NoNewLine 

$OnlineServers = $ServersTable . Select ( "Status = 'En ligne'") 

foreach (SServer in SOnlineServers) { 
&{ 

trap{ " [ ERREUR] pour les informations d'evenement : " 
+ "$Server.Name + " $_" I ' 
out-file $ErrorLogName -Append; Continue} 

SEvents = Get -RemoteEventLog SServer.Name "Application" 



# L ' instruction suivante peut demander beaucoup de temps 

# en fonction du nombre de serveurs. 

write-progress -Activity "Collecte des evenements depuis" 
+ "- $($Server.Name) " ' 
-Status "Veuillez patienter. . . " 



$1221Events = SEvents . Entries I where {$_.EventID -eq "1221" -and ' 
$_.TimeWritten -ge $Date . AddDays ( -$Days) } 

foreach ($1221Event in $1221Events){ 
&{ 

$Message = $1221 Event I select Message 
$TimeWritten = $1221Event.get_timewritten( ) 

# Cette expression reguliere extrait du message le nom 

# de la base de donnees. 

$Database = [Regex] : :Match($Message, ' " [ \r\n] *" ' ) 
$Database = $Database. Value. Replace) '"' , "") 



# Cette expression reguliere extrait la quantite 

# d'espace vide. 

$MB = [Regex] : : Match (SMessage , '[0-9]+') 
[ Void] $E vent sTable . Rows .Add ($Server . Name , $TimeWritten , 
SDatabase, $MB) 
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Pour finir, le script exporte les donnees de $EventsTable dans le fichier CSV en invoquant la 
fonction Export -DataTable : 

# 

# Exporter les donnees dans un fichier CSV. 

# 

$Null = Export -DataTable $EventsTable $ExportFile 
write -host 

write-host "Le script a termine !" -Foregroundcolor Green 
write-host "Consultez $ErrorLogName pour les erreurs." 
-Foregroundcolor Yellow 



Le script ProvisionExchangeUsers.psI 

Grace au script ProvisionExchangeUsers . psl , les administrateurs Exchange creent facilement 
et rapidement des comptes d'utilisateurs dans des environnements Exchange Server 2007, a 
partir d' informations definies dans un fichier CSV, dont voici la structure : 

■ prenom de l'utilisateur ; 

■ nom de l'utilisateur ; 

■ alias de messagerie de l'utilisateur ; 
nom complet de la base de donnees. 
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En voici un exemple : 

Prenom, Norn, Alias , BaseDonnees 
Stu,Gronko,sgronko,SFEX01 \SG1 \DB1 
Caelie,Hallauer, challauer,SFEX02\SG2\DB2 
Duane,Putnam,dputnam,SFEX02\SG2\DB2 
Essie, Fea,efea,SFEX02\SGl \DB1 
Rona.Trovato, rtrovato,SFEX01 \SG1 \DB2 
Gottfried, Leibniz , gleibniz , SFEx01 \SG1 \DB1 

Lorsque le code de ProvisionExchangeUsers . psl est modifie, le format du fichier CSV et les 
informations qui definissent les comptes d'utilisateurs peuvent etre ajustes a n'importe quel 
environnement. Cette souplesse est importante pour repondre aux besoins d'automation 
sou vent evolutifs. 

Ce script a ete demande par companyabc.com au cours d'un processus de plusieurs fusions 
qui ont conduit a la creation de nombreux nouveaux comptes d'utilisateurs avec messagerie. 
Le nombre de comptes a creer et les variations dans les informations disponibles lors de la 
creation des comptes pour une fusion font que la meilleure solution a consiste a employer 
une methode automatisee qui pouvait etre adaptee aux differents besoins. Pour repondre aux 
contraintes de souplesse, le service informatique de companyabc.com a developpe le script 
ProvisionExchangeUsers . ps1 . 

Vous en trouverez une copie dans le dossier Scripts\Chapitre 1 1 \ProvisionExchangeUsers 
et en telechargement depuis le site www.pearsoneducation.fr. L' execution de ce script 
necessite la definition de trois parametres. L' argument du parametre UPNSuffix indique le 
suffixe de nom principal universel (UPN, universal Principal Name) pour les nouveaux 
comptes avec messagerie. L' argument d'OUDN precise le distinguishedName de l'UO dans 
laquelle les comptes doivent etre enregistres. L' argument d'lmportFile designe le fichier 
CSV a importer qui contient la liste des utilisateurs. Voici la commande qui permet d'execu- 
ter le script ProvisionExchangeUsers . ps1 : 



PS C:\Scripts> . \ProvisionExchangeUsers . ps1 "companyabc.com" "OU=Accounts , 
DC=companyabc,DC=com" users. csv 



Les Figures 1 1 .6 et 11.7 illustrent son execution. 
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T C:\WINDOWS\system32\WindowsPowerShell\v1 .0\PowerShell.exe 




PS C :\Scripts > _\ProuisionExchangeUsers . psl "conpanyabc .com" "OU=flc counts ,DC=com^J 
panyabc , DC=com" users . csv 

Ajout des utilisateurs 
Progression : 
[oooooooooooo 

II Utilisateur : tyson 

« Date : Tue Oct 30 14:42:02 2007 

tttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttt 

Connexion au do ma in e conpanyabc .con 

Uerif ication du nom de 1'UO [OK] 
Uerif icat ion du f ichier a importer [OK ] 

Ueuillez saisir le not de passe: mkkmwmmkk 




Figure 11.6 

Execution au cours du script ProvisionExchangeUsers.psI . 



T C:\WINDOWS\system32\WindowsPowerShellW1 .0\PowerShell.exe 



PS C:\Scripts> -\ProuisionExchangeUsers .psl 
panyabcDC=con" users. ecu 



HEP 

'conpanyabc .com" "OU=Accounts,DC-ioinQ 

I 



ttttttttttttttttttttttttttttttttttttttttttttttttltttitttttttttttttttttttttit 

tt Script ProuisionExchangeUsers .psl 

tt Usage : Ce script cree des utilisateurs Exchange d'apres le con 

It du f ichier CSU indique. 
tt utilisateur : tyson 

It Date : Tue Oct 30 14:42:02 2007 

tttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttt 



[OK] 



Connexion au dona in e companyabc .con 

Uerif ication du nom de 1'UO [OK] 
Uerif icat ion du f ichier a importer 

Ueuillez saisir le not de passe: mmmmmmmmm 

Le script est ternine ? 

Consultez le f ichier ProvisionExchangeUsers.log en cas d'erreurs. 

PS C:\Scripts> 



Figure 11.7 

Execution du script ProvisionExchangeUsers.psI terminee. 
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Void la suite des operations effectuees par le script ProvisionExchangeUsers . psl : 

1. Le script cree un journal des erreurs nomme ProvisionExchangeUsers_Errors.log a 
l'aide de l'applet de commande Out -File. Ce journal permet aux utilisateurs d'obtenir 
des informations detaillees sur les erreurs. 

2. II se connecte au domaine d'ouverture de session actuel en invoquant la fonction Get- 
CurrentDomain. A partir de l'objet retourne par cette fonction, il affiche le nom du 
domaine sur la console PowerShell. Si la connexion echoue, le script se termine. 

3. Ensuite, le script verifie que l'UO indiquee existe dans le domaine courant en appelant la 
fonction Get -ADOb j ect. Si l'UO n'est pas valide, il se termine. 

4. II utilise l'applet de commande Test - Path pour verifier que le fichier CSV d'importation 
est valide. Si ce n'est pas le cas, le script se termine. 

5. Le script emploie l'applet de commande Read -Host avec le parametre AsSecureString 
afin d'obtenir le mot de passe des nouveaux comptes. La chaine securisee obtenue est 
enregistree dans la variable $Password. 

6. II invoque l'applet de commande Import -Csv pour placer le contenu du fichier CSV dans 
la variable $Users. 

7. Pour chaque utilisateur dans la collection $Users, le script appelle l'applet de commande 
New -Mailbox pour creer un compte d' utilisateur avec messagerie en fonction des infor- 
mations du fichier CSV et de celles fournies par 1' utilisateur. Les erreurs generees pendant 
la creation du compte sont enregistrees dans le journal des erreurs du script a l'aide de 
l'applet de commande Out -File. 

Le premier extrait de code contient l'en-tete du script ProvisionExchangeUsers . psl . II four- 
nit des informations sur le role du script, sa date de derniere mise a jour et son auteur. Juste 
apres l'en-tete, nous trouvons les parametres du script : 



################################################## 

# ProvisionExchangeUsers . psl 

# Ce script cree des utilisateurs Exchange d 1 apres le contenu 

# du fichier CSV indique. 
# 

# Cree le : 10/21/2006 

# Auteur : Tyson Kopczynski 

################################################## 

param( [string] $UPNSuffix, [string] $0UDN, [string] $ImportFile) 
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Dans l'extrait de code suivant, nous definissons les variables qui seront utilisees par la suite. 
Par ailleurs, la bibliotheque LibraryGen.psl est chargee de maniere a fournir les fonctions 
d' utilisation du script : 

################################################## 

# Code principal. 

################################################## 
# 

# Charger des bibliotheques 

# 

. . \LibraryGen.ps1 

# 

# Definir les variables de configuration. 

# 

$ScriptName = "ProvisionExchangeUsers . ps1 ' 

$ScriptUsage = "Ce script cree des utilisateurs Exchange d'apres" 
+ "le contenu du fichier CSV indique." 

SScriptCommand = "$ScriptName -UPNSuffix valeur -OUDN valeur -ImportFile valeur" 
SScriptParams = "UPNSuffix = Suffixe UPN des nouveaux utilisateurs.", 

"OUDN = Norn distinctif de l'UO dans laquelle les utilisateurs sont crees.", 

"ImportFile = Fichier CSV a importer." 
SScriptExamples = "$ScriptName ""companyabc.com 

+ OU=Accounts,DC=companyabc 1 DC=com 

+ users. csv 
SErrorLogName = "ProvisionExchangeUsers.log" 
$Date = Date 




Ensuite, le script verifie si l'utilisateur a besoin d'une aide. Si ce n'est pas le cas, il controle si 
les parametres UPNSuffix, OUDN et ImportFile sont definis. S'ils ne le sont pas, il informe l'ope- 
rateur du script que ces parametres sont obligatoires et affiche les informations d' utilisation : 



# 

# Verifier les parametres obligatoires. 

# 

if ($args[0] -match ' - ( \?l(hl (help) ) ) ' ) { 
write-host 

Get -ScriptHeader SScriptName $ScriptUsage 

Show-ScriptUsage SScriptCommand SScriptParams SScriptExamples 

Return 

} 
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if ( !$UPNSuffix){ 
write-host 

write-host "Veuillez preciser le suffixe UPN !" -Foregroundcolor Red 
write-host 

Get -ScriptHeader $ScriptName $ScriptUsage 

Show-ScriptUsage $ScriptCommand $ScriptParams $ScriptExamples 
Return 
} 

if (!$0UDN){ 
write-host 

write-host "Veuillez preciser l'UO ou creer les utilisateurs ! 

-Foregroundcolor Red 
write-host 

Get -ScriptHeader $ScriptName $ScriptUsage 

Show-ScriptUsage $ScriptCommand $ScriptParams $ScriptExamples 
Return 
} 

if ( !$ImportFile){ 
write-host 

write-host "Veuillez preciser le fichier CSV a importer !" 

-Foregroundcolor Red 
write-host 



Get -ScriptHeader SScriptName $ScriptUsage 

Show-ScriptUsage SScriptCommand SScriptParams $ScriptExamples 
Return 

} 



Puis, l'applet de commande Out -File cree un journal des erreurs et y ecrit des informations 
d'en-tete. Ensuite, la fonction Get -ScriptHeader signale a l'operateur du script que la partie 
automation a demarre : 



# 

# Debut du script. 

# 

# Commencer le journal des erreurs. 

$ScriptName + " Execute le : " + $Date I out -file SErrorLogName 
write-host 

Get -ScriptHeader $ScriptName $ScriptUsage 
write-host 

write-host "Connexion au domaine" -NoNewLine 



326 Partie 3 



Utiliser PowerShell pour les besoins d'automation 



Le script doit ensuite verifier qu'il existe une connexion valide au domaine. Pour cela, il 
invoque Get-CurrentDomain. S'il n'existe aucune connexion valide, le script se termine et 
retourne son code d'etat. Dans le cas contraire, il poursuit son execution et affiche le nom de 
domaine sur la console : 

■{ 

trap{write-host 't "[ERREUR]" -Foregroundcolor Red; 
throw write-host $_ -Foregroundcolor Red; 
Break} 

write-host "Connexion au domaine" -NoNewLine 

# Tester la connexion au domaine. 
$Domain = Get-CurrentDomain 

# Afficher le nom du domaine. 

write-host ~t $Domain.Name -Foregroundcolor Green 

} 

Nous verifions ensuite le nom distinctif dans la variable $0UDN. Pour cela, le script se sert de 
la fonction Get -ADObj ect. Elle se connecte a Active Directory et recherche l'UO par son nom 
distinctif. Si la fonction retourne un objet, l'UO est valide. Sinon, l'UO est consideree comme 
invalide et le script se termine : 

write-host "Verification du nom de l'UO" -NoNewLine 

if (! (Get -ADObj ect "distinguishedName" $0UDN "organizationalUnit " ) ) { 
write-host "t "Invalide !" -Foregroundcolor Red 
write-host 
Break 
} 

else{ 

write-host "t "[OK]" -Foregroundcolor Green 
} 
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Le script verifie ensuite la validite du fichier a importer a l'aide de 1' applet de commande 
Test -Path : 

write -host "Verification du fichier a importer" -NoNewLine 

if (! (test -path $ImportFile -pathType Leaf)){ 

throw write-host 't "Invalide !" -Foregroundcolor Red 
} 

else{ 

write-host 't "[OK]" -Foregroundcolor Green 
} 



Ensuite, pour obtenir le mot de passe de l'utilisateur, il invoque 1' applet de commande Read - 
Host avec l'option AsSecureString : 

# 

# Obtenir le mot de passe. 

# 

write-host 

$Password = read-host "Veuillez saisir le mot de passe" -AsSecureString 



Enfin, le script cree les nouveaux comptes d'utilisateurs en utilisant 1' applet de commande 
New -Mailbox, les informations provenant du fichier CSV et celles fournies par l'utilisateur du 
script : 



# Creer les boites aux lettres. 

# 

write-host 

write-progress -Activity "Ajout des utilisateurs " 
-Status "Veuillez patienter . . . " 

$Users = import-csv $ImportFile 



$Users I f oreach -obj ect -Begin {$i=0;} -Process {$FName = $_.FName; 
$LName = $_.LName; 
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$Alias = $_. Alias; 
$Database = $_. Database; 
$UPN = $Alias + "@" + $UPNSuffix; 
$Name = $FName + " " + $LName; 

$Null = new-mailbox -Name $Name -Database $Database 

-OrganizationalUnit $OUDN -UserPrincipalName $UPN 1 
-Password $Password -ResetPasswordOnNextLogon $True 
-Alias $Alias -DisplayName $Name -FirstName $FName 
-LastName $LName -ErrorVariable Err -ErrorAction 
SilentlyContinue; 

if ($Err. Count -ne 0){ ' 

"[ERREUR] ajout de 1 1 utilisateur : " + $Alias + " " 
out-file $ErrorLogName -Append}; 

$i = $i+1 ; 

write-progress -Activity "Ajout des utilisateurs 
-Status "Progression :" 

-PercentComplete ($i / $Users. Count * 100)} 

write-host "Le script est termine !" -Foregroundcolor Green 

write-host "Consultez le fichier $ErrorLogName en cas d'erreurs. 
Foregroundcolor Yellow 



EErr I 




En resume 

Nous venons de voir comment PowerShell pouvait servir a administrer Exchange Server 
2007, non seulement au travers des interfaces graphiques avec EMC, mais egalement depuis 
la ligne de commande avec EMS. Exchange Server 2007 est la premiere des nombreuses 
applications qui utiliseront PowerShell ainsi. Pour cela, elle s'appuie sur les possibilites 
d' extension de PowerShell a l'aide des composants logiciels enfichables. Grace a eux, de 
nouvelles applets de commande deviennent disponibles aux utilisateurs de PowerShell et 
augmentent leur capacite a administrer un deploiement Exchange. 

Les scripts etudies au fil de ce chapitre sont une bonne demonstration de ce que nous pouvons 
accomplir a l'aide du composant logiciel enrichable d'Exchange Server 2007. Grace a ces 
exemples, vous savez a present comment exploiter PowerShell pour obtenir des informations 
sur la taille d'une base de donnees Exchange, calculer l'espace vide dans une base de donnees 
et creer rapidement des comptes d' utilisateurs avec messagerie electronique. Mais les possi- 
bilites d' administration d'Exchange ne se bornent pas a cela. Comme nous l'avons repete 
souvent, les taches realisables avec PowerShell ne sont limitees que par vos propres talents 
de developpement et d'imagination. 
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Accepter le fait que les scripts peuvent accomplir de nombreuses taches constitue la premiere 
etape dans la comprehension des possibilites de PowerShell. Avant de vous attaquer a des 
besoins d' automation plus complexes, vous devez bien evidemment comprendre PowerShell. 
Cependant, en faisant ce premier pas, vous avez commence un voyage d' exploration qui 
vous conduira a utiliser PowerShell comme 1' a imagine son equipe de developpement. 

Cet ouvrage vous a guide vers deux aspects de ce voyage. Tout d'abord, vous avez compris 
ce qu'est PowerShell et comment l'utiliser. Cependant, les informations de fond et les expli- 
cations des caracteristiques se sont limitees a quelques chapitres, focalisees sur les sujets les 
plus importants a la comprehension du fonctionnement de PowerShell. Ensuite, cet ouvrage 
a aborde l'utilisation de PowerShell sous un angle inhabituel. Au lieu d'expliquer toutes les 
nuances des caracteristiques et de la syntaxe du langage de PowerShell, il a montre comment 
exploiter PowerShell. 

Pour cela, plusieurs chapitres ont compare l'ecriture de scripts Windows et de scripts 
PowerShell. Des exemples en ligne de commande et des scripts operationnels ont ete etudies, 
tant dans leur version VBScript que PowerShell. En procedant ainsi, vous avez pu mettre en 
relation vos connaissances des scripts Windows et les nouveaux concepts de PowerShell. Les 
deux derniers chapitres ont montre comment utiliser PowerShell pour repondre a differents 
besoins d'automation et pour administrer d'Exchange Server 2007. Comme lors des chapi- 
tres precedents, l'idee centrale etait 1' application reelle de PowerShell. 

Vous etes a present arrive a la fin de cet ouvrage, mais votre voyage se poursuit. PowerShell 
fait partie des produits les plus interessants que Microsoft a crees depuis un certain temps. 
Jeffrey Snover et les autres membres de 1' equipe de PowerShell doivent etre felicites pour 
avoir identifie un besoin et developpe l'outil qui permet d'y repondre. Avec l'adoption crois- 
sante de PowerShell par les applications de Microsoft et d' autres fournisseurs, l'etendue des 
possibilites de PowerShell va etre de plus en plus evidente et ne fera qu'augmenter. 
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PowerShell est un nouveau shell en ligne de commande 
et un langage de scripts exceptionnel, qui a ete deve- 
loppe par Microsoft pour donner aux informaticiens 
la possibility d'automatiser et de personnaliser totale- 
ment les taches d'administration de leurs systemes. En 
exploitant I'incroyable puissance de .NET Framework, 
PowerShell, avec sa syntaxe facile d apprendre et ses 
outils elabores, a ete concu des le depart pour accele- 
rer les developpements et offrir toute la puissance et la 
flexibility necessaires a une meilleure productivity. 

Avec cet ouvrage complet et riche en exemples, vous 
commencerez par acquerir les bases de I'interface, vous 
constaterez ses liens avec I'ecriture classique des scripts 
Windows, puis vous exploiterez vos connaissances pour 
les appliquer au developpement de scripts PowerShell. 

Pour illustrer ses explications, I'auteur fournit de nombreux 
exemples commentes de scripts operationnels. II vous 
enseigne des methodes PowerShell inedites qui vous 
seront d'une grande utilite pour administrer Windows 
Server, Active Directory et Exchange Server 2007. 

Telechargez les codes source des exemples sur le site 
de Pearson Education France www.pearson.fr. 
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